Hollanda, siber saldırılara destek suçlamasıyla 800 sunucuya el koydu ve 2 kişiyi tutukladı

 (krebsonsecurity.com)
1 puan yazan GN⁺ 3 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Hollandalı yetkililer, Rusya'nın AB içindeki siber saldırı, etki operasyonları ve dezenformasyon kampanyalarında kullanılan BT altyapısını işletmekle suçlanan bir hosting şirketinin iki ortağını tutukladı
  • FIOD, 18 Mayıs'ta Amsterdam'da 57 yaşındaki bir erkeği ve Lahey'de 39 yaşındaki bir erkeği gözaltına aldı; iş yerleri ve veri merkezlerinde yapılan aramalarda 800'den fazla sunucu ve çeşitli cihazlara el konuldu
  • Soruşturma, Rusya'nın işgalinden hemen önce ortaya çıkan Stark Industries üzerine yoğunlaşıyor; bu altyapı Avrupa'yı hedef alan DDoS saldırılarında ve Rusya destekli hacker gruplarıyla bağlantılı proxy ile anonimleştirme hizmetlerinde tekrar tekrar görüldü
  • AB yaptırımlarından hemen önce Stark varlıkları PQHosting'den the[.]hosting'e taşındı; bu kuruluşun internet bağlantısını yalnızca WorkTitans BV çatısı altında MIRhosting üzerinden aldığı ortaya çıktı
  • MIRhosting ve Andrey Nesterenko, yaptırımları delme ve yasa dışı faaliyetlere destek verme suçlamalarını reddetti; ancak WorkTitans hizmetlerini geçici olarak durdurdu ve Danimarka seçimleriyle ilgili iç soruşturma başlattı

Hollanda'daki tutuklamalar ve sunucuya el koyma

  • Hollanda mali suçlar soruşturma kurumu FIOD, 18 Mayıs'ta Amsterdam'da 57 yaşındaki bir erkeği ve Lahey'de 39 yaşındaki bir erkeği tutukladı; Hollanda'nın günlük gazetesi de Volkskrant bunu haberleştirdi
  • İki kişi, AB yaptırımlarına tabi taraflara doğrudan veya dolaylı biçimde ekonomik kaynak sağlayarak yaptırım yasasını ihlal etmekle suçlanıyor
  • Hollandalı yetkililerin açıklamasına göre soruşturmacılar Enschede ve Almere'deki 3 iş yerini, Dronten ve Schiphol-Rijk'taki 2 veri merkezini aradı; dizüstü bilgisayarlar, telefonlar ve 800'den fazla sunucuya el koydu
  • the[.]hosting müşterilerine iletilen mesajda, el koymanın hemen ardından sunucularda depolanan verilerin kaybolduğu ve geri getirilemeyeceği bildirildi

Stark Industries ve yaptırımlardan kaçınma iddiası

  • Hollanda soruşturması, Rusya'nın Ukrayna'yı işgalinden iki hafta önce ortaya çıkan büyük hosting sağlayıcısı Stark Industries'e odaklanıyor
  • Stark'ın, Avrupa hedeflerini vuran büyük ölçekli DDoS saldırılarının kaynağı olduğu ve Rusya destekli hacker gruplarıyla bağlantılı saldırılarda tekrar tekrar görülen proxy ile anonimleştirme hizmetlerinin başlıca sağlayıcılarından biri haline geldiği Mayıs 2024 tarihli ayrıntılı analizde ele alındı
  • Bu analiz, Moldovalı kardeşler Ivan Neculiti ve Yuri Neculiti ile onların şirketi PQHosting'i, Stark'ın iki ana internet bağlantı kanalından birini sağlayan taraf olarak tanımladı
  • AB, PQHosting ve Neculiti kardeşlere, Rusya'nın hibrit savaş yürütmesine yardım ettikleri suçlamasıyla Mayıs 2025'te yaptırım uyguladı
  • Ancak Eylül 2025 tarihli habere göre yaptırımlar, Stark'ın kalan internet bağlantı kanalı olan Hollanda merkezli ISP MIRhosting'i hedef almadı
  • PQHosting ve Neculiti kardeşlere yönelik AB yaptırımlarının açıklanmasından yaklaşık iki hafta önce ilgili haber basına sızdı ve bu arada Stark'ın ağ varlıkları PQHosting'den yeni kuruluş the[.]hosting'e aktarıldı
  • [Eylül 2025 tarihli haber], the[.]hosting'in Hollandalı şirket WorkTitans BV'nin kontrolü altında olduğunu ve WorkTitans'ın Andrey Nesterenko ile Youssef Zinad tarafından kontrol edildiğini ortaya koydu
  • WorkTitans, daha geniş internete bağlantıyı yalnızca MIRhosting üzerinden alıyordu ve Zinad daha önce MIRhosting'de çalışmıştı

Danimarka seçim haftasındaki saldırılar ve MIRhosting'in yanıtı

  • de Volkskrant, 13-19 Kasım 2025 tarihleri arasında Danimarka yerel seçim haftasında Danimarka devlet kurumlarını hedef alan Rusya yanlısı saldırılarda en çok kullanılan ağların WorkTitans ve MIRhosting olduğunu gösteren verileri inceledi
  • Nesterenko, tutuklanmadan önce sunucularının Rusya yanlısı siber suçlular tarafından kötüye kullanıldığını bilmediğini söyleyerek bunu reddetti
  • Nesterenko, Mayıs 2025'te AB yaptırımları yürürlüğe girdiğinde Neculiti kardeşlerle tüm hizmetleri sonlandırdığını ve “zararlı ve yanlış haberler” karşısında tüm haklarını kullanabileceğini belirtti
  • MIRhosting, Danimarka seçimleriyle bağlantılı suçlamalar hakkında iç soruşturma başlattığını ve ek inceleme sürecinde önleyici tedbir olarak WorkTitans'a verdiği hizmeti geçici olarak durdurduğunu açıklamasında duyurdu
  • MIRhosting, ön incelemede kendi kontrolündeki hizmetlerin Danimarka seçimlerini etkilemek için fiilen kullanıldığına dair hiçbir işaret bulunmadığını söyledi
  • MIRhosting, söz konusu dönemde ağ trafiğinde anormallik ya da ani artış gözlenmediğini, büyük çaplı bir DDoS saldırısı yaşanmış olsaydı bunun izlerinin görüleceğini savundu
  • MIRhosting, basındaki haberlerden önce şüpheli faaliyetler veya ağın kötüye kullanımıyla ilgili herhangi bir şikâyet, abuse report ya da resmî talep almadığını ve diğer müşterilere hizmet vermeyi normal şekilde sürdürdüğünü belirtti

Andrey Nesterenko ve MIRhosting'in geçmişi

  • Andrey Nesterenko, MIRhosting'in ana şirketi Innovation IT Solutions Corp.'u 2004 yılında kurdu
  • Innovation IT Solutions Corp.'un, Rus ordusunun 2008'de Gürcistan'ı işgal ettiği dönemde ortaya çıkan hacker aktivizmi sitesi stopgeorgia[.]ru'yu barındıran şirket olduğu belirtildi
  • stopgeorgia[.]ru'nun Gürcistan'a yönelik siber saldırıları organize eden bir site olduğu ve bu çatışmanın, dikkat çekici siber saldırılar ile gerçek askerî çatışmaların aynı anda yaşandığı ilk savaş olarak görüldüğü aktarıldı
  • Nesterenko, e-posta yanıtında MIRhosting'in siber suçları, yaptırımlardan kaçınmayı veya yasa dışı faaliyetleri desteklemediğini; Hollandalı yetkililerin suçlamaları ile tutuklamaların kendisine ve şirketine son derece zarar verdiğini söyledi
  • Nesterenko, the[.]hosting'e geçişin yaptırımlardan kaçınmak amacı taşımadığını ve donanım ile müşteri portföyünün yaptırımlar gündeme gelmeden önce zaten WorkTitans'a devredildiğini savundu
  • Nesterenko, yasal bir Hollanda altyapı şirketini kapatmanın ya da zarar vermenin siber suçu durdurmayacağını, bunun hiçbir suçu olmayan çok sayıda insana zarar vereceğini söyledi

Youssef Zinad'ın rolü

  • Youssef Zinad hakkında kamuya açık bilgi çok daha sınırlı ve 2025'teki haberlerden sonra düşük profilli bir tutum sürdürdüğü bildiriliyor
  • Nesterenko, Zinad'ın MIRhosting çalışanı olmadığını; şirketler arasındaki sıradan bir B2B sözleşmesi kapsamında belirli iş süreçlerinde kendisine ve MIRhosting'e yardımcı olduğunu öne sürdü
  • Ancak Nesterenko, daha önce KrebsOnSecurity'ye gönderdiği bir e-postada @mirhosting.com uzantılı e-posta kullanan Zinad'ı ileti dizisine eklemiş ve onun şirketin hukuk ekibinin bir parçası olduğunu söylemişti
  • Hollanda sitesi stagemarkt[.]nl, Youssef Zinad'ı MIRhosting'in Almere ofisinin resmî iletişim kişisi olarak listeliyor
  • de Volkskrant, Zinad'ın LinkedIn hesabına erişimi kapattığını, e-posta, WhatsApp ve telefona aylar boyunca yanıt vermediğini ve daha sonra Amsterdam'daki bir konutta tutuklandığını bildirdi

İlgili okumalar

1 yorum

 
GN⁺ 3 시간 전
Hacker News yorumları

  • Bu şirketlerin meşru hosting şirketleri olarak görülmesinin zor olduğunu belirtmek gerek. Mesele, KYC yapmayan bir offshore sunucu sağlayıcısından ibaret değil; daha çok Rus istihbarat görevlilerine ait, Rus istihbaratının paravan şirketleri gibiler ve başka bir iş yapmıyorlar, hatta sıradan kullanıcılara isteseler bile hosting vermiyorlar diye düşünüyorum
    Almanya'da birinin e-posta hizmeti sağlayıcısı olan pissmail'e kayıt olup spam göndermesi yüzünden o sağlayıcı hapse girmişti ve bunun etkisiyle ben de birkaç sosyal medya hesabımı kaybetmiştim

    • “Sıradan kullanıcılara isteseler bile hosting vermiyorlar” kısmı doğru görünmüyor. Geçmişte acilen geçici bir VPS'e ihtiyacım olduğunda PQ.Hosting kullanmıştım ve başka normal kullanıcılar da vardı
      Çok fazla şartları yoktu ama torrent yüzünden bile kullanıcıları rastgele engelliyorlardı; yani anlamlı düzeyde bulletproof hosting sayılmazdı. Şüpheli işlere karışmış olma ihtimalleri yüksekti ve IP kalitesi de berbattı, ama yine de normal hizmet veriyorlardı
    • Bu iddiayı destekleyecek bir kaynağa ihtiyaç var. Yoksa neredeyse komplo teorisi gibi duruyor

  • Güvenlik kariyerim boyunca hep savunmacı tarafta oldum
    Bazı piyasalarda suçun meşru işlerden daha kârlı olduğunu biliyorum ama siber suçlular için altyapı BT hizmeti sunmaya bu kadar çok düşünce, emek, planlama ve mühendislik gitmesi beni hep şaşırtıyor. Bunun içinde olan insanlar meşru işlerde de rahatlıkla para kazanabilecek yeteneğe sahipken suçluları desteklemeyi seçmeleri bana pek anlaşılır gelmiyor

    • İyi bir işi, kariyeri ve ailesi olan birinin siber suça girip çöküş yaşadığını ve sonunda hapse gittiğini gördüm
      Benim anladığım kadarıyla, yasayı atlatmanın, aptal gördüğü insanları sömürmenin ve bu süreçte para kazanmanın verdiği üstünlük hissi kaynaklı heyecanı seviyordu
      Geriye dönüp bakınca gerçekten aptalca bir hatayla yakalandı. Kendi zihinsel üstünlüğüne ve başkalarının aptallığına o kadar çok inanmıştı ki sonunda kimsenin onu yakalayamayacağını düşünmeye başlamış gibi görünüyor
    • Meşru yoldan gitmek her zaman kolay değil. Özellikle de bugünün iş piyasasında, yaşadığın yere bağlı olarak daha da zor
      ABD, teknoloji maaşlarının çok yüksek olduğu sıra dışı bir pazar ve bu tür saf operasyon işleri o yüksek maaşların içinde bile alt tarafta kalıyor. Ortalama sistem yöneticisi maaşının çok daha düşük olduğu bir ülkedeyseniz, örneğin Doğu Avrupa'da yılda yaklaşık 30 bin ila 35 bin dolar seviyesindeyse, siber suç tarafının neden cazip göründüğünü anlamak zor değil
    • Şöyle düşünün: 1) siber güvenlik gerçekten “hissedar değeri” gibi laflardan daha üst önceliğe sahip, 2) diğer tüm aktörlerin kötü niyetli olduğunu varsaymak zorunda olduğunuz sistemler tasarlıyorsunuz, 3) bütçe fiilen sınırsız ve 4) özel şirketlerin ödediğinin birkaç katını veren bir kurumda çalışıyorsunuz
      Hani şu “zero trust yapıyoruz ama tüm yönetim düzlemi Azure yönetiminde olduğu için yapacak bir şey yok” türü istisnaların hiç olmadığı bir ortam
    • Bunu “siber suçlulara altyapı BT hizmeti sağlamak” diye düşünmemek daha iyi. Çünkü bu ifade, sanki bunlar özünde BT çalışanlarıymış da müşteri tabanları tesadüfen o tarafa kaymış gibi gösteriyor
      Daha doğru okuma şu olur: çeşitli siber suç grupları kendilerini barındıracak bir hosting bulamayınca bizzat arka uç BT altyapısı kurmanın zahmetine katlandı ve sonra kurdukları altyapıdan hareketle birkaç farklı yöne evrildiler
      Birincisi, kendi ihtiyaçlarının “sorma, söyleme” tarzı hosting için daha genel bir karşılanmamış talebe işaret ettiğini fark edip yan iş olarak hosting vermeye başlıyorlar
      İkincisi, ASN kaydı gibi durumlarda uydurma bir hosting şirketi görüntüsünü ne kadar inandırıcı kılarlarsa bunun o kadar koruyucu olacağını düşünüp, gerçek müşterisi de kontrol düzlemi de olmayan bir hosting sitesinin kabuğunu alelacele ekliyorlar
      Üçüncüsü, ASN'den meşru trafik üreten gerçek müşteriler varsa bunun daha meşru görüneceğini ve diğer ASN'lerin hepsini birden engellemekte tereddüt edeceğini hesaplayıp, bir yerdeki sefil bir sunucuya sıradan bir VPS sağlayıcısı düzeyinde bir kurulum yapıyorlar. Bu da çoğu zaman OpenStack'ten ziyade siber suç pazarından alınmış eski, kaba saba, hazır IaaS ekipmanları oluyor
      Dördüncüsü ve görünüşe göre en yaygın yol ise şu: siber suçlu arkadaşlarıyla konuşurken onlar “madem kendiniz bir şey kurdunuz, bize de biraz hosting verin” demeye başlıyor ve yapı giderek fiili bir hosting koluna dönüşüyor. Ağızdan ağıza gelen bu yüksek temaslı müşterilerden daha fazlasını aldıkça manuel kurulum yük olmaya başlıyor ve sonunda otomasyona geçiyorlar
    • Meşru bir teknoloji işine girmek o kadar kolay değil. Bugünlerde teknoloji işlerinin kendisi zaten neredeyse bir lüks

  • Homelab öğrenirken pfSense kurduğumda, ev internet IP'me gelen taramaların ve saldırıların hangi bölgelerden geldiğini görebiliyordum. Hollanda'nın Rusya ve Çin'le benzer düzeyde yüksek çıkmasına şaşırdım ve hepsini bölgesel olarak engelledim
    Hollanda'nın bu insanlar için neden bu kadar cazip olduğunu merak ediyorum

    • Çünkü sunucular orada. Hollanda'daki Tor düğümü sayısına bakmanız yeterli. Bu, gerçek operatörlerin Hollanda'da olduğu anlamına gelmez
    • Yüksek bant genişliği ve nispeten düşük cezalar yüzünden olabilir

  • Kötü şöhretli veri merkezlerini merak ediyorsanız CyberBunker'a bakabilirsiniz. Kavramsal olarak ilginçtir ve bu da Hollanda'dadır
    https://en.wikipedia.org/wiki/CyberBunker

  • “Yaptırımların Stark'ın kalan internet bağlantısını, yani Hollanda merkezli internet servis sağlayıcısı MIRhosting'i hedef almadığı” kısmı saçma. Her gün mirhosting ofisinin önünden geçiyorum

  • Saldırıları yaptırmak için para ödeyen kişilerin de adlarının açıklanıp suçlanması güzel olurdu

    • FSB ise ne yapabilirsiniz ki. Rusya, Hollanda vatandaşlarıyla dolu bir yolcu uçağını düşürdü ve yine de kayda değer bir sonuç çıkmadı
    • Kolluk kuvvetleri genelde devam eden soruşturmalar hakkında konuşmaz