Les Pays-Bas saisissent 800 serveurs et arrêtent 2 personnes pour aide présumée à des cyberattaques

 (krebsonsecurity.com)
1 points par GN⁺ 3 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Les autorités néerlandaises ont arrêté deux copropriétaires d’une société d’hébergement, soupçonnés d’avoir exploité une infrastructure IT utilisée dans les cyberattaques russes au sein de l’UE, des opérations d’influence et des campagnes de désinformation
  • Le FIOD a arrêté le 18 mai un homme de 57 ans à Amsterdam et un homme de 39 ans à La Haye, et a saisi plus de 800 serveurs ainsi que divers équipements lors de perquisitions dans des locaux professionnels et des data centers
  • L’enquête se concentre sur Stark Industries, apparu juste avant l’invasion russe, une infrastructure régulièrement impliquée dans des attaques DDoS visant l’Europe et dans des services de proxy et d’anonymisation liés à des groupes de hackers soutenus par la Russie
  • Juste avant les sanctions de l’UE, les actifs de Stark ont été transférés de PQHosting vers the[.]hosting, et il est apparu que cette entité ne recevait sa connectivité Internet que via MIRhosting sous WorkTitans BV
  • MIRhosting et Andrey Nesterenko ont nié toute aide à l’évasion des sanctions ou à des activités illégales, mais WorkTitans a été temporairement suspendu et une enquête interne liée aux élections danoises a été lancée

Arrestations et saisie de serveurs aux Pays-Bas

  • Le quotidien néerlandais de Volkskrant a rapporté que l’organisme néerlandais d’enquête sur la criminalité financière, le FIOD, avait arrêté le 18 mai un homme de 57 ans à Amsterdam et un homme de 39 ans à La Haye
  • Les deux hommes sont soupçonnés d’avoir violé la législation sur les sanctions en fournissant, directement ou indirectement, des ressources économiques à des personnes visées par les sanctions de l’UE
  • Les enquêteurs ont perquisitionné trois sites professionnels à Enschede et Almere, ainsi que deux data centers à Dronten et Schiphol-Rijk, et ont saisi des ordinateurs portables, des téléphones et plus de 800 serveurs, ont annoncé les autorités néerlandaises
  • Un message transmis aux clients de the[.]hosting indiquait qu’immédiatement après la saisie, les données stockées sur les serveurs avaient été perdues et ne pouvaient pas être récupérées

Stark Industries et soupçons de contournement des sanctions

  • L’enquête néerlandaise se concentre sur le grand hébergeur Stark Industries, apparu deux semaines avant l’invasion russe de l’Ukraine
  • Stark a été à l’origine de vastes attaques DDoS visant des cibles européennes et s’est imposé comme un fournisseur majeur de services de proxy et d’anonymisation apparaissant de façon répétée dans des attaques liées à des groupes de hackers soutenus par la Russie, comme l’explique une analyse approfondie de mai 2024
  • Cette analyse a identifié les frères moldaves Ivan Neculiti et Yuri Neculiti, ainsi que leur société PQHosting, comme fournissant l’un des deux principaux canaux de connectivité Internet de Stark
  • En mai 2025, l’UE a sanctionné PQHosting et les frères Neculiti pour leur aide présumée à la guerre hybride menée par la Russie
  • Mais selon un article de septembre 2025, les sanctions ne visaient pas le FAI néerlandais MIRhosting, dernier canal de connectivité restant de Stark
  • Environ deux semaines avant l’annonce des sanctions européennes contre PQHosting et les frères Neculiti, des informations à ce sujet avaient fuité dans la presse, et entre-temps les actifs réseau de Stark ont été transférés de PQHosting vers une nouvelle entité, the[.]hosting
  • Selon l’article de septembre 2025, the[.]hosting était sous le contrôle de la société néerlandaise WorkTitans BV, elle-même contrôlée par Andrey Nesterenko et Youssef Zinad
  • WorkTitans ne recevait sa connexion vers l’Internet mondial que par l’intermédiaire de MIRhosting, et Zinad avait auparavant travaillé chez MIRhosting

Attaques pendant les élections danoises et démenti de MIRhosting

  • de Volkskrant dit avoir examiné des données montrant que WorkTitans et MIRhosting étaient les réseaux les plus utilisés dans des attaques pro-russes visant des institutions publiques danoises pendant la semaine des élections locales au Danemark, du 13 au 19 novembre 2025
  • Avant son arrestation, Nesterenko a nié savoir que ses serveurs avaient été détournés par des cybercriminels pro-russes
  • Nesterenko a déclaré avoir mis fin à tous les services avec les frères Neculiti lorsque les sanctions de l’UE sont entrées en vigueur en mai 2025, ajoutant qu’il se réservait tous ses droits face à des « reportages nuisibles et inexacts »
  • MIRhosting a publié une déclaration indiquant avoir lancé une enquête interne sur les accusations liées aux élections danoises et avoir suspendu temporairement ses services à WorkTitans à titre préventif pendant un examen complémentaire
  • MIRhosting a affirmé que son enquête préliminaire n’avait révélé aucun signe d’utilisation effective des services sous son contrôle pour influencer les élections danoises
  • L’entreprise soutient qu’aucune anomalie ni hausse soudaine du trafic réseau n’a été observée pendant la période concernée, et qu’une attaque DDoS de grande ampleur aurait laissé apparaître ce type d’activité
  • MIRhosting affirme n’avoir reçu, avant les articles de presse, aucune plainte, aucun abuse report ni aucune demande officielle liée à une activité suspecte ou à un mésusage du réseau, et précise que les services pour les autres clients continuent de fonctionner normalement

Historique d’Andrey Nesterenko et de MIRhosting

  • Andrey Nesterenko a fondé en 2004 la société mère de MIRhosting, Innovation IT Solutions Corp.
  • Innovation IT Solutions Corp. est citée comme l’entreprise ayant hébergé stopgeorgia[.]ru, un site de hacktivisme apparu en 2008 au moment de l’invasion de la Géorgie par l’armée russe
  • stopgeorgia[.]ru était un site destiné à organiser des cyberattaques contre la Géorgie, et ce conflit est présenté comme la première guerre où des cyberattaques marquantes et des combats militaires réels se sont déroulés simultanément
  • Dans une réponse par email, Nesterenko a affirmé que MIRhosting ne soutenait ni la cybercriminalité, ni le contournement des sanctions, ni des activités illégales, et que les accusations des autorités néerlandaises ainsi que son arrestation étaient extrêmement préjudiciables pour lui et son entreprise
  • Nesterenko a soutenu que la transition vers the[.]hosting n’avait pas pour but de contourner les sanctions, et que le matériel et le portefeuille clients avaient déjà été transférés vers WorkTitans avant l’apparition des sanctions
  • Nesterenko a déclaré que fermer ou endommager une entreprise d’infrastructure néerlandaise légitime ne mettrait pas fin à la cybercriminalité, mais nuirait à de nombreuses personnes n’ayant rien fait de mal

Le rôle de Youssef Zinad

  • Les informations publiques sur Youssef Zinad sont bien plus limitées, et il aurait gardé un profil bas depuis les articles de 2025
  • Nesterenko affirme que Zinad n’était pas un employé de MIRhosting, mais qu’il l’assistait, lui et MIRhosting, dans certaines activités commerciales dans le cadre d’un contrat B2B classique entre entreprises
  • Toutefois, dans un précédent email envoyé à KrebsOnSecurity, Nesterenko avait mis en copie Zinad, qui utilisait une adresse @mirhosting.com, en le présentant comme membre de l’équipe juridique de l’entreprise
  • Le site néerlandais stagemarkt[.]nl mentionne Youssef Zinad comme contact officiel du bureau d’Almere de MIRhosting
  • de Volkskrant a rapporté que Zinad avait bloqué l’accès à son compte LinkedIn, n’avait répondu ni aux emails, ni à WhatsApp, ni au téléphone pendant plusieurs mois, avant d’être ensuite arrêté dans une résidence à Amsterdam

À lire aussi

1 commentaires

 
GN⁺ 3 시간 전
Avis sur Hacker News

  • Il faut souligner qu’il est difficile de considérer ces entreprises comme des sociétés d’hébergement légitimes. Le problème ne se limite pas à des serveurs étrangers sans KYC : elles ressemblent davantage à des sociétés écrans des services de renseignement russes, détenues par du personnel de ces mêmes services, n’exerçant pas d’autre activité, et ne proposant pas d’hébergement au grand public même si celui-ci en faisait la demande
    En Allemagne, quelqu’un s’est inscrit chez un fournisseur de messagerie (pissmail) et a envoyé du spam, ce qui a conduit ce fournisseur en prison, et à cause des retombées j’ai perdu plusieurs de mes comptes sur les réseaux sociaux

    • La formule « ne proposent pas d’hébergement au grand public même si celui-ci en faisait la demande » ne semble pas juste. J’ai déjà utilisé PQ.Hosting parce que j’avais besoin en urgence d’un VPS temporaire, et il y avait aussi beaucoup d’utilisateurs parfaitement légitimes
      Les exigences n’étaient pas très nombreuses, mais ils bannissaient volontiers les utilisateurs rien que pour du torrent, donc ce n’était pas de l’hébergement blindé à un niveau significatif. Il est très probable qu’ils trempaient dans des affaires douteuses et la qualité des IP était médiocre, mais ils fournissaient tout de même un vrai service
    • Il faudrait des sources pour étayer cette affirmation. Sans cela, ça ressemble presque à une théorie du complot

  • J’ai passé toute ma carrière dans la sécurité du côté des défenseurs
    Je sais que, sur certains marchés, le crime rapporte plus que les activités légales, mais je suis toujours surpris par la quantité de réflexion, d’effort, de planification et d’ingénierie investie dans la fourniture de services d’infrastructure IT aux cybercriminels. Les personnes impliquées auraient largement les capacités de bien gagner leur vie de manière légale, donc j’ai du mal à comprendre qu’elles choisissent de soutenir des criminels

    • J’ai vu quelqu’un qui avait un bon poste, une carrière et une famille sombrer après être entré dans la cybercriminalité, puis finir en prison
      D’après ce que j’ai compris, il aimait le frisson de supériorité que lui procurait le fait de contourner la loi, d’exploiter des gens qu’il jugeait stupides, et de gagner de l’argent au passage
      Avec le recul, il s’est fait attraper à cause d’une erreur vraiment idiote. Il croyait tellement en sa supériorité intellectuelle et à la stupidité des autres qu’il a fini par penser que personne ne pourrait jamais l’arrêter
    • Choisir la voie légale n’est pas forcément simple. C’est particulièrement vrai aujourd’hui selon l’endroit où l’on vit
      Les États-Unis sont un marché atypique où les salaires tech sont élevés, et ce type de poste purement opérationnel se situe plutôt dans le bas de cette fourchette. Dans un pays où le salaire moyen d’un administrateur système est bien plus faible, par exemple en Europe de l’Est, autour de 30 000 à 35 000 dollars par an, il n’est pas difficile de comprendre pourquoi la cybercriminalité peut paraître tentante
    • Il suffit d’imaginer que vous travaillez dans une organisation où 1) la cybersécurité passe réellement avant tout, plutôt que des slogans comme la « valeur pour l’actionnaire », 2) vous concevez des systèmes en partant du principe que tous les autres acteurs sont malveillants, 3) le budget est pratiquement illimité, et 4) vous êtes payé plusieurs fois plus que dans le privé
      Un environnement sans les exceptions habituelles du type « on fait du zero trust, mais tout le plan de gestion dépend d’Azure, donc on ne peut pas faire autrement »
    • Il vaut mieux ne pas voir cela comme le fait de « fournir des services d’infrastructure IT aux cybercriminels ». Dit ainsi, on a l’impression qu’il s’agit fondamentalement de professionnels de l’IT qui exploitent une infrastructure, et que leur clientèle n’est que fortuitement de ce milieu
      Il est plus juste de penser que plusieurs groupes cybercriminels, incapables de trouver un hébergeur qui les accepterait, ont fait le travail pénible de mettre en place eux-mêmes leur infrastructure IT backend, puis ont évolué dans plusieurs directions à partir de là
      Premièrement, ils se rendent compte que leurs propres besoins révèlent une demande plus générale non satisfaite pour de l’hébergement « sans poser de questions », et commencent à héberger en activité secondaire
      Deuxièmement, ils considèrent qu’enregistrer un ASN ou accomplir des démarches similaires est plus crédible s’ils se présentent comme une société d’hébergement, et ils bricolent alors la façade d’un site d’hébergement sans vrais clients ni plan de contrôle
      Troisièmement, ils jugent qu’avoir de vrais clients générant du trafic légitime depuis l’ASN rend l’ensemble plus respectable et dissuade d’autres ASN de bloquer tout le bloc, alors ils installent réellement, sur un pauvre serveur quelque part, un équipement du niveau d’un fournisseur VPS standard. Le plus souvent, ce n’est probablement pas OpenStack, mais un vieil équipement IaaS clé en main, sommaire et dépassé, acheté sur un marché cybercriminel
      Quatrièmement, et cela semble être le cas le plus fréquent, en discutant avec leurs amis cybercriminels, ceux-ci leur demandent peu à peu : « puisque vous avez déjà monté quelque chose vous-mêmes, vous pourriez aussi nous héberger ? », ce qui les fait progressivement évoluer vers une véritable activité d’hébergement. À mesure qu’ils acceptent davantage de ces clients à forte interaction arrivés par bouche-à-oreille, la configuration manuelle devient lourde, et ils finissent donc par automatiser
    • Aller vers un poste tech légal n’est pas si facile. Aujourd’hui, avoir un emploi dans la tech relève déjà presque du luxe

  • En apprenant à monter un home lab, j’ai configuré pfSense et j’ai pu voir d’où venaient les scans et attaques visant l’IP Internet de mon domicile. J’ai été surpris de constater que les Pays-Bas en généraient presque autant que la Russie ou la Chine, et j’ai tout bloqué par région
    Je me demande pourquoi les Pays-Bas sont si attractifs pour ces gens

    • Parce que les serveurs y sont. Il suffit de voir combien de nœuds Tor se trouvent aux Pays-Bas. Cela ne signifie pas que les opérateurs s’y trouvent réellement
    • Probablement à cause de la bande passante élevée et de peines relativement faibles

  • Si vous êtes curieux à propos des centres de données notoirement sulfureux, CyberBunker vaut le détour. Le concept est intéressant, et c’est aussi aux Pays-Bas
    https://en.wikipedia.org/wiki/CyberBunker

  • Le passage disant que « les sanctions n’ont pas visé la dernière connexion Internet restante de Stark, à savoir le fournisseur d’accès à Internet néerlandais MIRhosting » est sidérant. Je passe devant les bureaux de mirhosting tous les jours

  • Ce serait bien de rendre publics les noms de ceux qui ont payé pour faire mener les attaques et de les inculper aussi

    • Si c’est le FSB, que peut-on faire ? La Russie a abattu un avion de ligne rempli de citoyens néerlandais, et cela n’a guère eu de conséquences
    • Les enquêteurs ne parlent généralement pas d’enquêtes en cours