नीदरलैंड ने साइबर हमलों में मदद के आरोप में 800 सर्वर जब्त किए, 2 गिरफ्तार

 (krebsonsecurity.com)
1 पॉइंट द्वारा GN⁺ 3 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • नीदरलैंड के अधिकारियों ने एक hosting company के 2 सह-मालिकों को गिरफ्तार किया, जिन पर रूस के EU के भीतर साइबर हमलों, प्रभाव अभियानों और दुष्प्रचार अभियानों में इस्तेमाल हुए IT infrastructure के संचालन में शामिल होने का आरोप है
  • FIOD ने 18 मई को Amsterdam के 57 वर्षीय पुरुष और The Hague के 39 वर्षीय पुरुष को गिरफ्तार किया, और व्यवसायिक परिसरों व data center की तलाशी में 800 से अधिक सर्वर और अन्य डिवाइस जब्त किए
  • जांच का केंद्र Stark Industries है, जो रूस के आक्रमण से ठीक पहले सामने आई थी, और जिसका infrastructure यूरोप को निशाना बनाने वाले DDoS हमलों तथा रूस-समर्थित hacking groups से जुड़े proxy और anonymization services में बार-बार दिखाई दिया
  • EU प्रतिबंध लागू होने से ठीक पहले Stark की assets को PQHosting से the[.]hosting में ट्रांसफर किया गया, और सामने आया कि इस इकाई को WorkTitans BV के तहत सिर्फ MIRhosting के जरिए ही इंटरनेट कनेक्टिविटी मिली थी
  • MIRhosting और Andrey Nesterenko ने प्रतिबंधों से बचने और अवैध गतिविधियों में मदद के आरोपों से इनकार किया, लेकिन WorkTitans की services अस्थायी रूप से निलंबित कर दीं और Denmark election से जुड़े मामलों पर आंतरिक जांच शुरू की

नीदरलैंड में गिरफ्तारियां और सर्वर जब्ती

  • डच financial crime investigation agency FIOD ने 18 मई को Amsterdam के 57 वर्षीय पुरुष और The Hague के 39 वर्षीय पुरुष को गिरफ्तार किया, यह जानकारी डच दैनिक de Volkskrant ने रिपोर्ट की
  • दोनों पर EU प्रतिबंधों के दायरे में आने वाले पक्षों को सीधे या परोक्ष रूप से आर्थिक संसाधन उपलब्ध कराने और इस तरह प्रतिबंध कानून का उल्लंघन करने का आरोप है
  • जांचकर्ताओं ने Enschede और Almere में 3 व्यवसायिक ठिकानों तथा Dronten और Schiphol-Rijk में 2 data center की तलाशी ली, और laptop, phone तथा 800 से अधिक सर्वर जब्त किए, ऐसा डच अधिकारियों ने घोषणा में कहा
  • the[.]hosting के ग्राहकों को भेजे गए संदेश में कहा गया कि जब्ती के तुरंत बाद सर्वरों में स्टोर किया गया data खो गया और उसे recover नहीं किया जा सकता

Stark Industries और प्रतिबंधों से बचने के आरोप

  • डच जांच का फोकस बड़े hosting provider Stark Industries पर है, जो रूस के यूक्रेन पर आक्रमण से 2 हफ्ते पहले सामने आया था
  • मई 2024 की गहन विश्लेषण रिपोर्ट में बताया गया कि Stark यूरोपीय targets पर बड़े पैमाने के DDoS attacks का स्रोत रही और रूस-समर्थित hacking groups से जुड़े हमलों में बार-बार दिखने वाली proxy और anonymization services की एक प्रमुख supplier बनकर उभरी
  • उस विश्लेषण में Moldovan brothers Ivan Neculiti और Yuri Neculiti, तथा उनकी company PQHosting, को Stark के 2 प्रमुख internet connectivity channels में से एक उपलब्ध कराने वाला बताया गया
  • EU ने मई 2025 में PQHosting और Neculiti brothers पर रूस के hybrid warfare अभियान में मदद करने के आरोप में प्रतिबंध लगाए
  • लेकिन सितंबर 2025 की रिपोर्ट के मुताबिक, ये प्रतिबंध Stark के बचे हुए internet connectivity channel, नीदरलैंड-आधारित ISP MIRhosting, तक नहीं पहुंचे
  • PQHosting और Neculiti brothers पर EU प्रतिबंधों की घोषणा से करीब 2 हफ्ते पहले संबंधित जानकारी मीडिया में लीक हो गई थी, और इसी बीच Stark की network assets को PQHosting से नई entity the[.]hosting में ट्रांसफर कर दिया गया
  • सितंबर 2025 की रिपोर्ट के अनुसार, the[.]hosting डच कंपनी WorkTitans BV के नियंत्रण में थी, और WorkTitans को Andrey Nesterenko और Youssef Zinad नियंत्रित करते थे
  • WorkTitans को व्यापक इंटरनेट से कनेक्शन केवल MIRhosting के जरिए मिलता था, और Zinad पहले MIRhosting में काम कर चुका था

Denmark election के दौरान हमले और MIRhosting का जवाब

  • de Volkskrant ने ऐसे data की समीक्षा की, जो दिखाता है कि 13 से 19 नवंबर 2025 के बीच Denmark local election week में डेनिश सरकारी संस्थानों पर हुए pro-Russian हमलों में WorkTitans और MIRhosting सबसे ज्यादा इस्तेमाल होने वाले network थे
  • Nesterenko ने गिरफ्तारी से पहले इनकार किया कि उन्हें पता था कि उनके सर्वरों का दुरुपयोग pro-Russian cybercriminals कर रहे थे
  • Nesterenko ने कहा कि मई 2025 में EU प्रतिबंध लागू होते ही उन्होंने Neculiti brothers से जुड़ी सभी services खत्म कर दी थीं, और उन्होंने यह भी कहा कि वे “हानिकारक और गलत रिपोर्टिंग” के खिलाफ अपने सभी अधिकारों का इस्तेमाल कर सकते हैं
  • MIRhosting ने बयान में कहा कि उसने Denmark election से जुड़े आरोपों पर आंतरिक जांच शुरू की है और अतिरिक्त समीक्षा के दौरान एहतियाती कदम के तौर पर WorkTitans की services अस्थायी रूप से निलंबित कर दी हैं
  • MIRhosting ने कहा कि शुरुआती जांच में ऐसा कोई संकेत नहीं मिला कि उसके नियंत्रण वाली services का वास्तव में Denmark election को प्रभावित करने के लिए इस्तेमाल हुआ हो
  • कंपनी का कहना है कि उस अवधि में network traffic में कोई असामान्यता या उछाल नहीं देखा गया, और अगर बड़े पैमाने का DDoS attack हुआ होता तो ऐसी गतिविधि स्पष्ट दिखती
  • MIRhosting ने यह भी कहा कि मीडिया रिपोर्ट आने से पहले उसे संदिग्ध गतिविधि, network misuse, abuse report या किसी आधिकारिक अनुरोध के बारे में कोई शिकायत नहीं मिली थी, और अन्य ग्राहकों की services सामान्य रूप से जारी हैं

Andrey Nesterenko और MIRhosting का इतिहास

  • Andrey Nesterenko ने 2004 में MIRhosting की parent company Innovation IT Solutions Corp. की स्थापना की थी
  • Innovation IT Solutions Corp. का नाम उस कंपनी के रूप में लिया गया है जिसने 2008 में उस समय stopgeorgia[.]ru को host किया था, जब रूसी सेना ने Georgia पर आक्रमण किया था
  • बताया गया कि stopgeorgia[.]ru एक ऐसी website थी जो Georgia के खिलाफ साइबर हमलों को संगठित करती थी, और उस संघर्ष को ऐसे पहले युद्ध के रूप में देखा गया जिसमें बड़े साइबर हमले और वास्तविक सैन्य लड़ाई एक साथ हुई
  • ईमेल जवाब में Nesterenko ने कहा कि MIRhosting साइबर अपराध, प्रतिबंधों से बचने या अवैध गतिविधियों का समर्थन नहीं करता, और डच अधिकारियों के आरोप तथा गिरफ्तारी उनके और उनकी कंपनी के लिए बेहद नुकसानदेह हैं
  • Nesterenko ने दावा किया कि the[.]hosting में बदलाव का उद्देश्य प्रतिबंधों से बचना नहीं था, और hardware तथा customer portfolio को प्रतिबंध सामने आने से पहले ही WorkTitans में ट्रांसफर कर दिया गया था
  • Nesterenko ने कहा कि नीदरलैंड की एक वैध infrastructure company को बंद करने या नुकसान पहुंचाने से cybercrime नहीं रुकेगा, बल्कि कई निर्दोष लोगों को नुकसान होगा

Youssef Zinad की भूमिका

  • Youssef Zinad के बारे में सार्वजनिक जानकारी काफी कम है, और बताया जाता है कि 2025 की रिपोर्टिंग के बाद से उन्होंने लो-प्रोफाइल बनाए रखा
  • Nesterenko का कहना है कि Zinad MIRhosting का कर्मचारी नहीं था, बल्कि कंपनियों के बीच एक सामान्य B2B contract के तहत कुछ खास business tasks में उनकी और MIRhosting की मदद करता था
  • लेकिन KrebsOnSecurity को पहले भेजे गए एक ईमेल में Nesterenko ने @mirhosting.com ईमेल वाले Zinad को reference में शामिल किया था और उसे कंपनी की legal team का हिस्सा बताया था
  • डच वेबसाइट stagemarkt[.]nl में Youssef Zinad को MIRhosting के Almere office का आधिकारिक संपर्क बताया गया है
  • de Volkskrant ने रिपोर्ट किया कि Zinad ने अपने LinkedIn account की पहुंच बंद कर दी, कई महीनों तक email, WhatsApp और phone का जवाब नहीं दिया, और बाद में उसे Amsterdam के एक आवासीय पते से गिरफ्तार किया गया

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 3 시간 전
Hacker News की राय

  • यह बात रेखांकित करनी चाहिए कि इन कंपनियों को वैध hosting companies कहना मुश्किल है। यह सिर्फ KYC न करने वाले किसी विदेशी server की चिंता का मामला नहीं है; ये ज़्यादा करीब से रूस की intelligence agencies के लोगों के स्वामित्व वाली, उन्हीं की front companies लगती हैं, जो दूसरा कोई कारोबार नहीं करतीं, और आम लोगों को चाहने पर भी hosting नहीं देतीं।
    जर्मनी में किसी ने email service provider (pissmail) पर signup करके spam भेजा था, जिसकी वजह से उस provider को जेल जाना पड़ा, और उसके असर में मैंने अपने कई social media accounts खो दिए थे

    • “आम लोगों को चाहने पर भी hosting नहीं देतीं” वाली बात सही नहीं लगती। मैंने पहले कभी जल्दी में temporary VPS चाहिए होने पर PQ.Hosting इस्तेमाल किया था, और वहाँ दूसरे सामान्य users भी थे।
      requirements बहुत ज़्यादा नहीं थे, लेकिन सिर्फ torrenting पर भी वे users को मनमाने ढंग से block कर देते थे, इसलिए उसे किसी मायने में असली bulletproof hosting नहीं कहेंगे। उनके संदिग्ध कामों में शामिल होने की संभावना काफ़ी थी और IP quality भी बहुत खराब थी, लेकिन वे सामान्य service देते तो थे
    • उस दावे के समर्थन में source चाहिए। नहीं तो यह लगभग conspiracy theory जैसा लगता है

  • मैंने अपने पूरे security कामकाज के दौरान defender side पर काम किया है।
    मुझे पता है कि कुछ बाज़ारों में crime, वैध काम से ज़्यादा पैसा देता है, लेकिन यह बात हमेशा चौंकाती है कि cyber criminals के लिए infrastructure IT services देने में कितना thought, effort, planning और engineering लगती है। इसमें शामिल लोगों में वैध काम से भी अच्छा पैसा कमाने की क्षमता होती है, फिर भी वे criminals की मदद का रास्ता चुनते हैं, यह समझना मुश्किल है

    • मैंने ऐसे व्यक्ति को देखा है जिसके पास अच्छी नौकरी, career और family थी, लेकिन cyber crime में कदम रखने के बाद उसका पतन हुआ और अंत में वह जेल गया।
      मेरी समझ में, उसे कानून से बच निकलने, जिन लोगों को वह मूर्ख समझता था उनका शोषण करने, और इस प्रक्रिया में पैसा कमाने से मिलने वाला श्रेष्ठता का रोमांच पसंद था।
      पीछे मुड़कर देखें तो वह सचमुच एक बेहद मूर्खतापूर्ण गलती से पकड़ा गया। शायद उसने अपनी बौद्धिक श्रेष्ठता और दूसरों की मूर्खता पर इतना भरोसा कर लिया था कि अंततः उसे लगा कि कोई उसे पकड़ ही नहीं सकता
    • वैध रास्ते पर जाना हमेशा आसान नहीं होता। खासकर आज के job market में, और यह आपकी location पर और भी निर्भर करता है।
      अमेरिका एक असामान्य बाज़ार है जहाँ tech salaries बहुत ऊँची हैं, और इस तरह का शुद्ध operations work उन ऊँची salaries में भी निचले हिस्से में आता है। अगर आप ऐसे देश की बात करें जहाँ औसत system administrator salary बहुत कम है, जैसे Eastern Europe, तो लगभग $30k–$35k per year पर cyber crime का लालच समझना कठिन नहीं है
    • बस यह कल्पना कीजिए कि आप ऐसी organization में काम कर रहे हैं जहाँ 1) cyber security सच में “shareholder value” जैसे शब्दों से ऊपर सर्वोच्च प्राथमिकता है, 2) systems इस धारणा पर design किए जाते हैं कि बाकी सभी actors malicious हैं, 3) budget लगभग unlimited है, और 4) private companies की तुलना में कई गुना ज़्यादा भुगतान मिलता है।
      यह ऐसा environment है जहाँ “हम zero trust करते हैं, लेकिन पूरा control plane Azure-managed है, इसलिए मजबूरी है” जैसी आम exceptions भी नहीं हैं
    • इसे “cyber criminals को infrastructure IT services देना” समझना ठीक नहीं होगा। इससे ऐसा लगता है मानो ये लोग मूल रूप से IT staff हैं जो infrastructure चलाते हैं और बस उनका customer base संयोग से वैसा है।
      बेहतर समझ यह है कि कई cyber crime groups को अपने लिए hosting नहीं मिलती, इसलिए उन्होंने खुद backend IT infrastructure खड़ी करने का कठिन काम किया, और फिर पहले से बने infrastructure के आधार पर कुछ अलग दिशाओं में बढ़ गए।
      पहला, उन्हें समझ आया कि उनकी अपनी ज़रूरत “don’t ask, don’t tell” hosting की एक अधिक सामान्य, अपूर्ण मांग को दिखाती है, और उन्होंने side business के रूप में hosting शुरू कर दी।
      दूसरा, ASN registration जैसी स्थितियों में उन्हें लगा कि एक बनावटी hosting company का मुखौटा जितना विश्वसनीय लगेगा, उतना ही सुरक्षा कवच मिलेगा, इसलिए उन्होंने असली customers और बिना control plane वाली hosting site का एक बाहरी ढाँचा जोड़ दिया।
      तीसरा, उन्हें लगा कि अगर ASN से वैध traffic पैदा करने वाले वास्तविक customers हों, तो वह अधिक वैध दिखेगा और दूसरे ASNs पूरे के पूरे block करने में हिचकेंगे, इसलिए उन्होंने कहीं किसी मामूली server पर आम VPS provider के स्तर की सुविधाएँ सचमुच बना दीं। अक्सर यह OpenStack की बजाय cyber crime bazaar से खरीदा गया पुराना, घटिया turnkey IaaS gear होता है।
      चौथा, और शायद सबसे आम रास्ता, यह है कि cyber criminal दोस्तों से बात करते-करते वे इस स्थिति में पहुँचते हैं कि दोस्त कहते हैं, “अगर तुमने खुद कुछ बना लिया है, तो हमें भी थोड़ा host कर दो,” और धीरे-धीरे वह एक वास्तविक hosting arm में बदल जाता है। ऐसे word-of-mouth से आने वाले high-touch customers बढ़ते हैं, तो manual setup बोझिल हो जाता है, और अंततः automation शुरू करनी पड़ती है
    • वैध tech role में जाना इतना आसान नहीं है। आजकल tech jobs होना ही लगभग एक luxury जैसा है

  • जब मैंने homelab सीखते हुए pfSense configure किया, तो मैं यह देख सका कि मेरे घर के internet IP पर आने वाले scans और attacks किन क्षेत्रों से आ रहे थे। मुझे हैरानी हुई कि Netherlands का स्तर रूस और चीन के लगभग बराबर था, इसलिए मैंने उन सबको geo-block कर दिया।
    सोचता हूँ कि Netherlands इन लोगों के लिए इतना आकर्षक क्यों है

    • क्योंकि servers वहाँ हैं। बस Netherlands में मौजूद Tor nodes की संख्या देख लीजिए। इसका मतलब यह नहीं कि असली operators भी Netherlands में हों
    • शायद high bandwidth और अपेक्षाकृत कम सज़ा की वजह से

  • अगर आप किसी कुख्यात datacenter के बारे में जानना चाहते हैं, तो CyberBunker देखिए। अवधारणा के तौर पर यह दिलचस्प है, और यह भी Netherlands में है।
    https://en.wikipedia.org/wiki/CyberBunker

  • “Sanctions, Stark की बची हुई internet connectivity, यानी Netherlands-आधारित internet service provider MIRhosting, को निशाना बनाने में विफल रहीं” — यह हिस्सा अजीब लगता है। मैं रोज़ mirhosting के office के पास से गुजरता हूँ

  • अच्छा होगा अगर हमले करवाने के लिए पैसे देने वालों के नाम भी सार्वजनिक किए जाएँ और उन पर भी मुकदमा चले

    • अगर वह FSB है, तो आप कर भी क्या सकते हैं। रूस ने Netherlands के नागरिकों से भरा एक passenger plane गिरा दिया था, और उसका भी खास नतीजा नहीं निकला
    • law enforcement आम तौर पर ongoing investigations के बारे में बात नहीं करती