Hà Lan tịch thu 800 máy chủ và bắt 2 người vì bị nghi hỗ trợ tấn công mạng

 (krebsonsecurity.com)
1 điểm bởi GN⁺ 3 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Giới chức Hà Lan đã bắt giữ 2 đồng sở hữu của một công ty hosting với cáo buộc vận hành hạ tầng CNTT được sử dụng cho các cuộc tấn công mạng, chiến dịch gây ảnh hưởng và chiến dịch thông tin sai lệch của Nga trong EU
  • FIOD đã bắt một người đàn ông 57 tuổi ở Amsterdam và một người đàn ông 39 tuổi ở The Hague vào ngày 18/5, đồng thời tịch thu hơn 800 máy chủ cùng các thiết bị khác trong các cuộc khám xét cơ sở kinh doanh và trung tâm dữ liệu
  • Cuộc điều tra tập trung vào Stark Industries, xuất hiện ngay trước khi Nga xâm lược, và hạ tầng này liên tục xuất hiện trong các cuộc tấn công DDoS nhằm vào châu Âu cũng như trong các dịch vụ proxy và ẩn danh liên quan đến các nhóm hacker được Nga hậu thuẫn
  • Ngay trước khi EU áp lệnh trừng phạt, tài sản của Stark đã được chuyển từ PQHosting sang the[.]hosting, và pháp nhân này được cho là chỉ nhận kết nối Internet thông qua MIRhosting dưới pháp nhân WorkTitans BV
  • MIRhosting và Andrey Nesterenko phủ nhận việc né tránh trừng phạt và hỗ trợ hoạt động bất hợp pháp, nhưng WorkTitans đã tạm ngừng dịch vụ và bắt đầu điều tra nội bộ liên quan đến cuộc bầu cử ở Đan Mạch

Các vụ bắt giữ và tịch thu máy chủ tại Hà Lan

  • Cơ quan điều tra tội phạm tài chính Hà Lan FIOD đã bắt một người đàn ông 57 tuổi ở Amsterdam và một người đàn ông 39 tuổi ở The Hague vào ngày 18/5, theo bài báo của nhật báo Hà Lan de Volkskrant
  • Hai người này bị cáo buộc vi phạm luật trừng phạt khi trực tiếp hoặc gián tiếp cung cấp nguồn lực kinh tế cho các đối tượng nằm trong danh sách trừng phạt của EU
  • Các điều tra viên đã khám xét 3 cơ sở kinh doanh ở Enschede và Almere cùng 2 trung tâm dữ liệu ở Dronten và Schiphol-Rijk, đồng thời tịch thu laptop, điện thoại và hơn 800 máy chủ, theo thông báo của giới chức Hà Lan
  • Một thông báo gửi tới khách hàng của the[.]hosting cho biết dữ liệu lưu trên máy chủ đã bị mất ngay sau vụ tịch thu và không thể khôi phục

Stark Industries và nghi vấn né tránh trừng phạt

  • Cuộc điều tra của Hà Lan tập trung vào nhà cung cấp hosting quy mô lớn Stark Industries, xuất hiện 2 tuần trước khi Nga xâm lược Ukraine
  • Theo phân tích chuyên sâu tháng 5/2024, Stark là nguồn phát sinh các cuộc tấn công DDoS quy mô lớn nhắm vào mục tiêu ở châu Âu và nổi lên như nhà cung cấp chính các dịch vụ proxy, ẩn danh liên tục xuất hiện trong các cuộc tấn công có liên hệ với các nhóm hacker được Nga hậu thuẫn
  • Phân tích này xác định hai anh em người Moldova Ivan NeculitiYuri Neculiti, cùng công ty của họ là PQHosting, đã cung cấp một trong hai tuyến kết nối Internet chính cho Stark
  • EU đã áp lệnh trừng phạt với PQHosting và hai anh em Neculiti vào tháng 5/2025 vì bị cáo buộc hỗ trợ Nga tiến hành chiến tranh lai
  • Tuy nhiên, theo bài viết tháng 9/2025, lệnh trừng phạt không nhắm tới ISP có trụ sở tại Hà Lan là MIRhosting, tuyến kết nối Internet còn lại của Stark
  • Khoảng 2 tuần trước khi EU công bố lệnh trừng phạt với PQHosting và anh em Neculiti, thông tin liên quan đã bị rò rỉ ra báo chí, và trong khoảng thời gian đó tài sản mạng của Stark đã được chuyển từ PQHosting sang pháp nhân mới the[.]hosting
  • Theo bài viết tháng 9/2025, the[.]hosting nằm dưới sự kiểm soát của pháp nhân Hà Lan WorkTitans BV, còn WorkTitans do Andrey NesterenkoYoussef Zinad kiểm soát
  • WorkTitans chỉ nhận kết nối ra Internet rộng hơn thông qua MIRhosting, và Zinad trước đây từng làm việc tại MIRhosting

Các cuộc tấn công trong thời gian bầu cử ở Đan Mạch và phản bác từ MIRhosting

  • de Volkskrant cho biết họ đã xem xét dữ liệu cho thấy WorkTitansMIRhosting là những mạng được sử dụng nhiều nhất trong các cuộc tấn công thân Nga nhằm vào cơ quan chính phủ Đan Mạch trong tuần bầu cử địa phương, từ ngày 13 đến 19/11/2025
  • Trước khi bị bắt, Nesterenko phủ nhận việc biết rằng các máy chủ của mình bị các tội phạm mạng thân Nga lạm dụng
  • Nesterenko cho biết khi lệnh trừng phạt của EU có hiệu lực vào tháng 5/2025, ông đã chấm dứt mọi dịch vụ với anh em Neculiti và tuyên bố sẽ sử dụng mọi quyền của mình trước những “bài viết gây hại và không chính xác”
  • MIRhosting ra tuyên bố cho biết đã bắt đầu điều tra nội bộ về các cáo buộc liên quan đến cuộc bầu cử ở Đan Mạch và tạm ngừng dịch vụ với WorkTitans như một biện pháp phòng ngừa trong khi tiếp tục rà soát
  • MIRhosting cho biết điều tra sơ bộ không tìm thấy dấu hiệu nào cho thấy các dịch vụ do họ kiểm soát thực sự đã được dùng để gây ảnh hưởng tới cuộc bầu cử ở Đan Mạch
  • MIRhosting lập luận rằng không quan sát thấy bất thường hay đột biến nào trong lưu lượng mạng trong giai đoạn đó, và nếu đã có một cuộc tấn công DDoS quy mô lớn thì những hoạt động như vậy hẳn đã lộ rõ
  • MIRhosting cho biết trước khi có các bài báo, họ chưa từng nhận được khiếu nại, abuse report hay yêu cầu chính thức nào liên quan đến hoạt động đáng ngờ hoặc việc lạm dụng mạng, và dịch vụ với các khách hàng khác vẫn hoạt động bình thường

Lịch sử của Andrey Nesterenko và MIRhosting

  • Andrey Nesterenko đã thành lập công ty mẹ của MIRhosting là Innovation IT Solutions Corp. vào năm 2004
  • Innovation IT Solutions Corp. được nhắc đến là công ty từng lưu trữ stopgeorgia[.]ru, một website hacktivist xuất hiện vào thời điểm quân đội Nga xâm lược Gruzia năm 2008
  • stopgeorgia[.]ru được giới thiệu là website tổ chức các cuộc tấn công mạng nhằm vào Gruzia, và cuộc xung đột này được xem là cuộc chiến đầu tiên mà các cuộc tấn công mạng nổi bật diễn ra song song với giao tranh quân sự thực địa
  • Trong email trả lời, Nesterenko cho biết MIRhosting không hỗ trợ tội phạm mạng, né tránh trừng phạt hay hoạt động bất hợp pháp, và các cáo buộc cũng như vụ bắt giữ của giới chức Hà Lan gây tổn hại nghiêm trọng cho ông và công ty
  • Nesterenko khẳng định việc chuyển sang the[.]hosting không nhằm mục đích né tránh trừng phạt, và phần cứng cùng danh mục khách hàng đã được chuyển sang WorkTitans trước khi các lệnh trừng phạt xuất hiện
  • Nesterenko cho rằng việc đóng cửa hoặc phá hoại một công ty hạ tầng hợp pháp của Hà Lan sẽ không ngăn được tội phạm mạng mà chỉ gây hại cho nhiều người vô tội

Vai trò của Youssef Zinad

  • Có ít thông tin công khai hơn nhiều về Youssef Zinad, và người này được cho là đã giữ hồ sơ rất kín kể từ bài báo năm 2025
  • Nesterenko cho rằng Zinad không phải nhân viên của MIRhosting mà chỉ hỗ trợ ông và MIRhosting trong một số công việc kinh doanh cụ thể theo một hợp đồng B2B thông thường giữa các công ty
  • Tuy nhiên, trong email trước đó gửi cho KrebsOnSecurity, Nesterenko từng đưa Zinad vào danh sách nhận thư bằng địa chỉ @mirhosting.com và mô tả ông này là một phần của đội ngũ pháp lý của công ty
  • Trang web Hà Lan stagemarkt[.]nl liệt kê Youssef Zinad là đầu mối liên hệ chính thức của văn phòng MIRhosting tại Almere
  • de Volkskrant đưa tin Zinad đã chặn quyền truy cập vào tài khoản LinkedIn, không phản hồi email, WhatsApp và điện thoại trong nhiều tháng, sau đó bị bắt tại một khu dân cư ở Amsterdam

Bài viết liên quan

1 bình luận

 
GN⁺ 3 giờ trước
Ý kiến trên Hacker News

  • Cần chỉ ra rằng khó có thể xem các công ty này là công ty hosting hợp pháp. Đây không chỉ là chuyện phải lo về mấy máy chủ ở nước ngoài không làm KYC, mà gần như là công ty bình phong của tình báo Nga do người của tình báo Nga sở hữu, không làm hoạt động kinh doanh nào khác, và theo tôi thì ngay cả khi người bình thường muốn dùng họ cũng không cung cấp hosting
    Ở Đức, từng có chuyện ai đó đăng ký nhà cung cấp email (pissmail) rồi gửi spam, khiến chính nhà cung cấp đó phải vào tù, và hệ quả là tôi từng mất vài tài khoản mạng xã hội của mình

    • Có vẻ câu “không cung cấp hosting cho người bình thường dù họ có muốn” là không đúng. Trước đây tôi từng dùng PQ.Hosting vì cần gấp một VPS tạm thời, và cũng có nhiều người dùng bình thường khác
      Dù yêu cầu không quá nhiều, họ vẫn thường chặn người dùng khá mạnh tay chỉ vì torrent, nên cũng không phải kiểu bulletproof hosting ở mức đáng kể. Rất có thể họ có dính líu đến chuyện mờ ám nào đó và chất lượng IP cũng tệ, nhưng họ vẫn có cung cấp dịch vụ bình thường
    • Cần có nguồn để chứng minh nhận định đó. Nếu không thì nó gần như giống thuyết âm mưu

  • Trong suốt công việc bảo mật của mình, tôi luôn ở phía phòng thủ
    Tôi biết ở một số thị trường thì tội phạm kiếm ra tiền hơn công việc hợp pháp, nhưng tôi vẫn luôn ngạc nhiên trước việc phải bỏ ra nhiều tư duy, công sức, kế hoạch và kỹ thuật đến thế để cung cấp dịch vụ hạ tầng CNTT cho tội phạm mạng. Những người liên quan rõ ràng đủ năng lực để kiếm nhiều tiền bằng công việc hợp pháp, nên tôi khó hiểu vì sao họ lại chọn con đường hỗ trợ tội phạm

    • Tôi từng chứng kiến một người có công việc tốt, sự nghiệp ổn định, gia đình đầy đủ nhưng rồi sa vào tội phạm mạng, sụp đổ và cuối cùng vào tù
      Theo cách tôi hiểu, anh ta thích cảm giác phấn khích vì sự vượt trội khi lách luật, bóc lột những người mà anh ta cho là ngu ngốc, và kiếm tiền trong quá trình đó
      Nhìn lại thì anh ta bị bắt bởi một sai lầm thực sự ngớ ngẩn. Có lẽ vì quá tin vào sự vượt trội trí tuệ của bản thân và sự ngu dốt của người khác nên cuối cùng anh ta nghĩ rằng chẳng ai có thể bắt được mình
    • Đi theo con đường hợp pháp không hẳn là dễ. Đặc biệt là trong thị trường việc làm hiện nay, điều đó còn phụ thuộc nhiều vào nơi bạn sống
      Mỹ là một thị trường đặc biệt nơi lương ngành công nghệ rất cao, và loại công việc thuần vận hành này lại còn nằm ở nhóm thấp trong mặt bằng lương cao đó. Nếu ở những nước mà lương quản trị hệ thống trung bình thấp hơn nhiều, ví dụ Đông Âu chỉ khoảng 30.000 đến 35.000 USD/năm, thì không khó để hiểu vì sao phía tội phạm mạng lại trông hấp dẫn
    • Hãy tưởng tượng bạn làm trong một tổ chức nơi 1) an ninh mạng thực sự là ưu tiên số một chứ không phải mấy khẩu hiệu kiểu “giá trị cổ đông”, 2) bạn thiết kế hệ thống với giả định mọi chủ thể khác đều độc hại, 3) ngân sách gần như không giới hạn, và 4) bạn được trả cao hơn khu vực tư nhân nhiều lần
      Đó là môi trường không có những ngoại lệ quen thuộc kiểu “chúng tôi làm zero trust đấy nhưng mặt phẳng quản trị thì vẫn phải dùng Azure quản lý”
    • Tốt hơn là đừng nghĩ việc này như “cung cấp dịch vụ hạ tầng CNTT cho tội phạm mạng”. Cách diễn đạt đó khiến họ trông như vốn là nhân sự IT vận hành hạ tầng, chỉ tình cờ có tập khách hàng thuộc phía đó mà thôi
      Đúng hơn phải hiểu là nhiều nhóm tội phạm mạng không tìm được nơi nào chịu hosting cho mình nên đã phải tự làm phần hạ tầng CNTT backend đầy vất vả, rồi từ hạ tầng đã dựng sẵn đó mới rẽ theo vài hướng khác nhau
      Thứ nhất, họ nhận ra nhu cầu của chính mình cho loại hosting “không hỏi, không nói” phản ánh một nhu cầu chung chưa được đáp ứng, nên bắt đầu làm hosting như nghề tay trái
      Thứ hai, họ cho rằng trong các tình huống như đăng ký ASN, vỏ bọc là một công ty hosting bịa đặt càng thuyết phục thì càng có tác dụng bảo vệ, nên gắn tạm lớp ngoài của một website hosting thậm chí không có control plane thật
      Thứ ba, họ nghĩ rằng nếu có khách hàng thật phát sinh lưu lượng hợp pháp từ ASN thì trông sẽ chính đáng hơn và khiến các ASN khác ngần ngại chặn cả dải, nên thực sự dựng một bộ hạ tầng cỡ nhà cung cấp VPS phổ thông trên một máy chủ tồi tàn nào đó. Thường thì đó có lẽ không phải OpenStack mà là bộ IaaS turnkey cũ kỹ, thô sơ mua từ chợ tội phạm mạng
      Thứ tư, và có vẻ là con đường phổ biến nhất, là họ nói chuyện với bạn bè trong giới tội phạm mạng rồi những người đó bảo “nếu các cậu đã tự dựng được cái gì đó thì cho bọn tôi host nhờ luôn”, và dần dần việc này phát triển thành một mảng hosting trên thực tế. Khi nhận thêm những khách hàng cần nhiều tương tác kiểu truyền miệng như vậy, cấu hình thủ công bắt đầu trở nên quá tải, và cuối cùng họ phải bắt đầu tự động hóa
    • Đi theo nghề công nghệ hợp pháp đâu có dễ đến thế. Dạo này bản thân việc làm công nghệ đã gần như là một thứ xa xỉ rồi

  • Khi học làm homelab và cấu hình pfSense, tôi có thể xem được khu vực của các lượt quét và tấn công nhắm vào IP Internet tại nhà mình. Tôi ngạc nhiên vì Hà Lan xuất hiện nhiều gần ngang Nga và Trung Quốc, nên đã chặn toàn bộ theo vùng
    Tôi tự hỏi vì sao Hà Lan lại hấp dẫn với những người này đến vậy

    • Vì máy chủ nằm ở đó. Chỉ cần nhìn số lượng node Tor ở Hà Lan là thấy. Điều đó không có nghĩa người vận hành thực sự ở Hà Lan
    • Có lẽ vì băng thông cao và mức án tương đối nhẹ

  • Nếu tò mò về một data center tai tiếng, bạn có thể tìm đọc CyberBunker. Xét về mặt khái niệm thì khá thú vị, và nó cũng ở Hà Lan
    https://en.wikipedia.org/wiki/CyberBunker

  • Đoạn nói rằng “các lệnh trừng phạt đã không nhắm tới kết nối Internet còn lại của Stark, tức nhà cung cấp dịch vụ Internet có trụ sở tại Hà Lan là MIRhosting” thật khó tin. Tôi đi ngang văn phòng của mirhosting mỗi ngày

  • Sẽ tốt nếu cả những người bỏ tiền thuê thực hiện các cuộc tấn công cũng bị nêu tên và truy tố

    • Nếu là FSB thì làm được gì chứ. Nga từng bắn rơi một máy bay chở khách đầy công dân Hà Lan mà cũng chẳng có hậu quả gì đáng kể
    • Cơ quan điều tra thường không nói về các cuộc điều tra đang diễn ra