Hollanda Siber Saldırılara Yardım Etmekten 800 Sunucuya Ele Geçirdi, 2 Sunucuyu Tutukladı Windows

Hollanda Siber Saldırılara Yardım Etmekten 800 Sunucuya Ele Geçirdi, 2 Sunucuyu Tutukladı

Hollanda'daki yetkililer, Rusya'nın Avrupa Birliği içinde siber saldırılar gerçekleştirmek, etkileme operasyonları ve dezenformasyon kampanyaları gerç...

Hollanda'daki yetkililer, Rusya'nın Avrupa Birliği içinde siber saldırılar gerçekleştirmek, etkileme operasyonları ve dezenformasyon kampanyaları gerçekleştirmek için kullandığı BT altyapısını işlettiği için ilgili iki İnternet barındırma şirketinin ortak sahiplerini tutukladı. İki adam, barındırma şirketlerinin, geçen yıl AB tarafından Rusya'nın istihbarat teşkilatlarının siber haylazlıkları için sıklıkla sahnelenme alanı olarak onaylanan bir İnternet servis sağlayıcısı olan Stark Industries Solutions'ın teknik altyapısı üzerinde kontrolü nasıl ele geçirdiğini anlatan 2025 KrebsOnSecurity hikayesinin odak noktasıydı.

Hollandalı günlük haber kaynağı de Volkskrant, Hollanda mali suçlar dairesi FIOD'un 18 Mayıs'ta Amsterdam'dan 57 yaşındaki ve Lahey'den 39 yaşındaki bir kişiyi ekonomik kaynakları doğrudan veya dolaylı olarak AB yaptırımlı kuruluşlara sağlayarak yaptırım yasasını ihlal etmekle suçlayarak tutukladığını bildirdi.

Hollanda'daki soruşturma, Rusya'nın Ukrayna'yı işgal etmesinden sadece iki hafta önce ortaya çıkan, genişleyen bir barındırma sağlayıcısı olan Stark Industries'e odaklanıyor. Mayıs 2024'teki bu ayrıntılı incelemede ayrıntılarıyla anlatıldığı gibi, Stark kısa sürede Avrupa hedeflerine yönelik büyük miktarda dağıtılmış hizmet reddi (DDoS) saldırılarının kaynağı haline geldi ve Rusya destekli bilgisayar korsanlığı gruplarıyla bağlantılı siber saldırılarda defalarca ortaya çıkan proxy ve anonimlik hizmetlerinin önde gelen tedarikçisi haline geldi.

Bu raporda, Stark'ın daha geniş internete iki ana kanalından birini sağlayan iki Moldovalı kardeşin (Ivan ve Yuri Neculiti ile şirketleri PQHosting) kimliği belirlendi. Mayıs 2025'te AB, PQHosting ve Neculiti kardeşlere Rusya'nın hibrit savaş çabalarına yardım ettikleri için yaptırım uyguladı. Ancak KrebsOnSecurity'nin Eylül 2025'te gözlemlediği gibi, bu yaptırımlar Stark'ın kalan İnternet bağlantısını (MIRhosting adlı Hollanda merkezli bir İnternet servis sağlayıcısı) hedeflemede başarısız oldu.

MIRhosting, işi Hollanda dışında yürüten 39 yaşındaki Rus Andrey Nesterenko tarafından işletilmektedir. PQHosting ve Neculiti kardeşlerin AB tarafından yaptırıma tabi tutulacağı haberi, yaptırımların geçen yıl açıklanmasından yaklaşık iki hafta önce medyaya sızdırılmıştı. Bu süre zarfında, Stark ağ varlıkları PQHosting'den Hollandalı kuruluş WorkTitans BV'nin kontrolü altında barındırma adı verilen yeni bir kuruluşa aktarıldı.

Eylül 2025 tarihli raporumuzun da gösterdiği gibi WorkTitans, Nesterenko ve Amsterdamlı 57 yaşındaki Youssef Zinad adlı bir kişi tarafından kontrol ediliyordu. Üstelik WorkTitans, Zinad'ın daha önce çalıştığı MIRhosting aracılığıyla daha büyük İnternet'e bağlantı sağlıyordu.

18 Mayıs'ta Hollandalı mali suç müfettişleri Nesterenko ve Zinad'ı tutukladı ve Enschede ve Almere'deki üç işletme ile Dronten ve Schiphol-Rijk'teki iki veri merkezinde arama yaptı. Hollandalı yetkililerden yapılan açıklamada, dizüstü bilgisayarlara, telefonlara ve 800'den fazla sunucuya da el konulduğu belirtildi.

De Volkskrant, WorkTitans ve MIRhosting'in Danimarka belediye seçimleri haftası olan 13-19 Kasım 2025 tarihleri ​​arasında Danimarka hükümet organlarına yönelik Rus yanlısı saldırılarda en çok kullanılan ağlar olduğunu gösteren verileri incelediğini söyledi.

Yayın, Nesterenko'nun tutuklanmasından önce MIRhosting kurucusunun, sunucularının Rus yanlısı siber suçlular tarafından kötüye kullanıldığını bildiğini inkar ettiğini yazdı. De Volkskrant, "AB yaptırımları Mayıs 2025'te yürürlüğe girdiğinde Neculiti kardeşlerle olan tüm hizmetleri sonlandırdığını söyledi" ve "'zararlı ve yanlış yayınlara karşı harekete geçme haklarını saklı tuttuğunu'' yazdı.

MIRhosting, Danimarka'daki seçimlerle ilgili iddia edilen gerçekler hakkında dahili bir soruşturma başlattığını ve konu daha ayrıntılı olarak incelenirken ihtiyati tedbir olarak WorkTitans'a yönelik hizmetleri geçici olarak duraklattığını belirten bir bildiri yayınladı.

Açıklamada, "İlk bulgularımıza göre, üzerinde kontrolümüz olan hizmetlerin aslında Danimarka seçimlerini etkilemek için kullanıldığına dair hiçbir gösterge yok" deniyor. “Erkekler döneminde ağ trafiğimizde herhangi bir anormallik veya ani artış gözlemlenmedi

yayında yer alan; Büyük ölçekli DDoS saldırıları gerçekleşmiş olsaydı, bu tür faaliyetler açıkça görülecekti. Ayrıca, medyada yayınlanmadan önce şüpheli faaliyetlere veya ağımızın kötüye kullanılmasına ilişkin herhangi bir şikayet, suiistimal raporu veya resmi talep almamıştık. Bu arada, düzenli operasyonel faaliyetlerimiz devam ediyor ve diğer müşterilerimize verdiğimiz hizmet de tam olarak bozulmadan devam ediyor.”

Rusya'nın Nizhny Novgorod şehrinde doğan Bay Nesterenko, genç yaşta halka açık performanslar sergileyen bir piyano dehası olarak büyüdü. 2004 yılında Nesterenko, MIRhosting'in ana şirketi Innovation IT Solutions Corp.'u kurdu; bu şirket, Rus kuvvetlerinin 2008'de eski Sovyet ülkesini işgal etmesiyle aynı zamanda ortaya çıkan ve Gürcistan'a karşı siber saldırılar organize eden hacktivist bir web sitesi olan stopgeorgia[.]ru'ya ev sahipliği yapmaktan sorumlu şirket olma özelliği taşıyor. Bu çatışmanın, kayda değer bir siber saldırı ile gerçek bir askeri çatışmanın aynı anda gerçekleştiği şimdiye kadar yapılan ilk savaş olduğu düşünülüyordu.

E-posta yoluyla paylaşılan soruları yanıtlayan Nesterenko, MIRhosting'in siber suçları, yaptırımlardan kaçınmayı veya yasa dışı faaliyetleri desteklemediğini ve Hollandalı yetkililer tarafından yapılan iddiaların ve tutuklamaların kendisine ve şirketine son derece zararlı olduğunu söyledi.

Nesterenko, ".hosting'e geçişin amacı yaptırımlardan kaçınmak değildi" diye yazdı. “Yaptırımlar ortaya çıkmadan önce donanım ve müşteri portföyü zaten WorkTitans'a devredilmişti. Meşru bir Hollanda altyapı şirketini kapatmak veya zarar vermek siber suçları durdurmayacaktır ancak yanlış bir şey yapmayan birçok insana zarar verecektir.”

Geçen yılki hikayemizden bu yana dikkat çekmediği söylenen 57 yaşındaki Zinad hakkında çok daha az bilgi var. De Volkskrant, Zinad'ın LinkedIn hesabına erişimi engellediğini, aylarca e-postalara, WhatsApp mesajlarına ve telefon çağrılarına yanıt vermediğini ve bir meslektaşına hastalığın onu biraz daha münzevi bir yaşam sürmeye zorladığını söylediğini bildirdi.

Bay Nesterenko, Zinad'ın hiçbir zaman MIRhosting çalışanı olmadığını iddia ediyor.

Nesterenko, "Bana ve MIRhosting'e, şirketler arasındaki normal bir iş-iş anlaşması kapsamında belirli iş görevlerinde yardımcı oldu" diye açıkladı.

Ancak Nesterenko, KrebsOnSecurity'ye gönderdiği önceki e-postalarda @mirhosting.com e-postası olan Bay Zinad'ı kopyalayarak şirketin hukuk ekibinin bir parçası olduğunu açıkladı. Ayrıca Hollandalı web sitesi stagemarkt[.]nl, Youssef Zinad'ı MIRhosting'in Almere'deki ofislerinin resmi iletişim kişisi olarak listeliyor.

Sayın Zinad yorum taleplerine hiçbir zaman yanıt vermedi. De Volkskrant'ın onu bulma şansı da olmadı. Yayın, Bay Zinad'a (burada kısaca "Z" olarak anılacaktır) defalarca soru sorduğunu, ancak kendisinin her türlü temastan kaçındığını bildirdi.

De Volkskrant, "'Müsait değilim ancak mesajınıza mümkün olan en kısa sürede yanıt vereceğim'' şeklinde 2 Ekim 2025'te WhatsApp'ta otomatik bir yanıt okundu" dedi. “De Volkskrant'ın aylar içinde alacağı tek yanıt bu. Telefonunu açmadı ve geri aramadı. Bir tanıdığı, LinkedIn üzerinden muhabirle iletişime geçmesini istediğinde, LinkedIn sayfasına erişimi engelledi. Z.'nin şahıs limited şirketinin Almere'de kayıtlı olduğu adreste Nisan ayında kimse yoktu. Köşe evin perdeleri çekilmişti ve sanki yakın zamanda biri ayrılmış gibi dışarıda bir konteynerin yanında bir yığın çöp torbası duruyordu. Bir komşu, adamı tanıdığını ancak nerede kaldığını bilmediğini söyledi. Z. daha sonra Amsterdam'daki bir konutta tutuklandı.”

Paylaş: