荷兰当局逮捕了两家互联网托管公司的负责人,并查扣了超过800台服务器。这两人涉嫌通过设立新公司,为已被欧盟制裁的亲俄网络攻击组织提供IT基础设施,从而规避制裁。这一行动揭示了一个复杂的网络,其目的在于继续为俄罗斯在欧盟境内的网络攻击和虚假信息活动提供技术支持。
荷兰当局的突袭行动
荷兰金融犯罪调查局(FIOD)于5月18日采取行动,搜查了多个地点并逮捕了两名嫌疑人。
- 被捕人员: 一名来自阿姆斯特丹的57岁男子 Youssef Zinad 和一名来自海牙的39岁男子 Andrey Nesterenko。
- 指控罪名: 涉嫌违反欧盟制裁法,即向被制裁的实体提供经济资源。
- 查扣物品: 调查人员查获了笔记本电脑、电话以及超过 800台服务器。
- 后续影响: 服务器被查扣后,托管客户收到消息,称存储在服务器上的数据已丢失且无法恢复。
规避制裁的复杂网络
调查的核心指向一个为逃避欧盟制裁而精心设计的公司网络。整个计划围绕着一个名为 Stark Industries 的托管服务商展开,该公司在俄罗斯入侵乌克兰前两周出现,并迅速成为亲俄网络攻击的温床。
第一步:转移资产 最初,Stark Industries 的主要互联网服务由摩尔多瓦公司 PQHosting 提供。当 PQHosting 即将面临欧盟制裁的消息泄露后,Stark 的网络资产被迅速转移。
第二步:设立新公司 这些资产被转移到了一个名为 WorkTitans BV 的荷兰新实体下。这家公司由此次被捕的 Nesterenko 和 Zinad 控制。
第三步:利用自有渠道 最关键的一环是,WorkTitans 唯一的互联网连接完全来自于 Nesterenko 控制的另一家公司 MIRhosting。
调查的关键在于,Stark 网络的资产在制裁生效前被转移到了由 Nesterenko 和 Zinad 控制的新公司 WorkTitans。而 WorkTitans 唯一的互联网连接,则完全通过 Nesterenko 的另一家公司 MIRhosting 提供。
这形成了一个闭环,使得表面上与被制裁实体无关的新公司,实际上在旧有人员的操控下,继续为俄罗斯的网络活动提供支持。
嫌疑人的辩解与矛盾
被捕的 Andrey Nesterenko 否认了相关指控,并表示这些指控对他的公司造成了极大的伤害。
- Nesterenko 的主要辩解:
- 他声称在欧盟制裁生效后,已终止了与被制裁方(Neculiti兄弟)的所有服务。
- 他认为 WorkTitans 的资产转移发生在制裁之前,其目的并非为了规避制裁。
- 他强调关闭一家合法的荷兰公司并不能阻止网络犯罪。
Nesterenko 写道:“向 the.hosting 的过渡并非旨在规避制裁。硬件和客户组合在制裁出现之前就已经转移到了 WorkTitans。”
然而,调查人员发现了一些与 Nesterenko 的说法相矛盾的证据:
- 历史记录: Nesterenko 的公司 MIRhosting 早在2008年就曾为组织针对格鲁吉亚的网络攻击的黑客网站提供托管服务。
- 人事关系: Nesterenko 声称 Zinad 并非 MIRhosting 的员工,只是商业伙伴。但早前的邮件显示,Nesterenko 曾将 Zinad(拥有 @mirhosting.com 邮箱)介绍为公司法律团队的一员。
- Zinad 的行为: 另一名嫌疑人 Youssef Zinad 在事件曝光后一直保持低调,他屏蔽了领英账户,数月不回复任何信息,最终在阿姆斯特丹的一处住所被捕。这种回避行为也引发了外界的怀疑。