Jak Rosja ukrywa ataki za europejską infrastrukturą?

Sprawa zatrzymań w Holandii pokazuje, że rosyjska wojna hybrydowa w Europie nie opiera się wyłącznie na hakerach, farmach trolli, kanałach na Telegramie czy strukturach służb specjalnych, takich jak GRU, FSB i SWR. 

Równie ważne okazuje się mniej widoczne zaplecze techniczne: firmy hostingowe, serwery, adresy IP, usługi proxy, VPN i pośrednicy, którzy pozwalają ukryć faktyczne źródło ataku. 

Jak podaje holenderska Fiscale Inlichtingen- en Opsporingsdienst — FIOD (Służba Informacji i Dochodzeń Skarbowych), 18 maja br. zatrzymano dwóch mężczyzn (57-latka z Amsterdamu i 39-latka z Hagi) pod zarzutem naruszenia holenderskiej ustawy sankcyjnej przez bezpośrednie lub pośrednie udostępnianie zasobów gospodarczych podmiotom objętym sankcjami Unii Europejskiej. 

FIOD poinformował również o przeszukaniu trzech lokali firmowych w Enschede i Almere oraz dwóch centrów danych w Dronten i Schiphol-Rijk, a także o zajęciu dokumentacji, laptopów, telefonów i ponad 800 serwerów. 

Kim są zatrzymani?

Według dziennika de Volkskrant oraz magazynu KrebsOnSecurity zatrzymani to Andrey Nesterenko oraz Youssef Zinad.

Pierwszy z nich, 39-letni Rosjanin mieszkający w Holandii, jest właścicielem MIRhosting z Almere i równocześnie funkcjonuje publicznie jako pianista koncertowy oraz pedagog muzyczny. 

Z kolei Zinad to 57-letni przedsiębiorca i konsultant organizacyjny z Amsterdamu, wiązany z WorkTitans BV — holenderskim podmiotem, który według ustaleń śledczych i dziennikarskich miał odegrać rolę w przejęciu lub kontynuowaniu części infrastruktury Stark Industries po objęciu jej sankcjami UE. 

Ich znaczenie polega więc nie na bezpośrednim wykonywaniu cyberataków, lecz na domniemanym zapewnianiu warstwy technicznej: serwerów, kolokacji, adresów IP, połączeń z dużymi europejskimi węzłami internetowymi i struktur pośredniczących, które mogły utrudniać ustalenie rzeczywistego klienta końcowego.

Ukryć źródło rosyjskich ataków

W prowadzonym śledztwie nie chodzi tylko o klasyczną cyberprzestępczość, lecz o infrastrukturę, która miała być wykorzystywana przez Rosję do cyberataków, operacji wpływu i kampanii dezinformacyjnych na terenie Unii Europejskiej. 

KrebsOnSecurity wskazuje, że mężczyźni pojawiali się już wcześniej w kontekście przejęcia części infrastruktury technicznej Stark Industries Solutions, firmy hostingowej objętej w 2025 roku sankcjami UE jako zaplecze rosyjskich operacji cybernetycznych. 

Zasadnicze znaczenie ma tu nie sam fakt istnienia przedsiębiorstw hostingowych, lecz ich funkcja w łańcuchu operacyjnym. 

Jak pisze KrebsOnSecurity, Stark Industries Solutions pojawiła się 10 lutego 2022 roku, czyli dwa tygodnie przed pełnoskalową inwazją Rosji na Ukrainę i szybko stała się jednym z centrów masowych ataków DDoS przeciwko celom rządowym i komercyjnym u naszych wschodnich sąsiadów oraz w Europie.  

Firma była opisywana jako globalna sieć proxy, która ukrywała prawdziwe źródło cyberataków i kampanii dezinformacyjnych wymierzonych w przeciwników Rosji. 

Atak z wynajętej infrastruktury firmy

Z tej racji omawiana sprawa pokazuje techniczną stronę rosyjskiego wiarygodnego zaprzeczania.

Atak formalnie nie musi wychodzić z rosyjskiej sieci państwowej ani z serwerów należących do GRU, FSB czy podmiotu zarejestrowanego w Moskwie. Może zostać poprowadzony przez infrastrukturę wynajętą w Europie, przez legalnie wyglądającą firmę, w dużym węźle internetowym, przy użyciu adresów IP, których operatorzy bezpieczeństwa nie chcą od razu blokować, bo mogłoby to uderzyć również w legalny ruch. 

Jak wskazuje Team Cymru, większość infrastruktury wykorzystywanej w kampaniach NoName057(16) (prorosyjska grupa działająca od 2022 roku, czyli od początku pełnoskalowej agresji Rosji przeciwko Ukrainie) była przypisana do dwóch powiązanych dostawców hostingu: MIRhosting i Stark Industries. W analizie podkreślono, że prowadziła powtarzalne ataki DDoS przeciwko podmiotom z państw uznawanych za antyrosyjskie od marca 2022 roku. 

Równocześnie, według komunikatu Rady Unii Europejskiej z 20 maja 2025 roku, na listę sankcyjną wpisano m.in. Stark Industries i jej dyrektora generalnego Iurie Neculitiego oraz właściciela Ivana Neculitiego. Rada UE uznała ich za podmioty umożliwiające działania rosyjskich aktorów państwowych i powiązanych z państwem, w tym manipulację informacją, ingerencję oraz cyberataki przeciwko Unii i państwom trzecim. 

Zasadniczy problem polega jednak na tym, że sankcje wobec określonego podmiotu nie muszą automatycznie niszczyć całej infrastruktury.

 Jak czytamy w raporcie Recorded Future / Insikt Group, jeszcze przed formalnym wpisaniem Stark Industries na listę sankcyjną doszło do reorganizacji technicznej i korporacyjnej, która miała pozwolić na zachowanie ciągłości działania. 

Mowa o m.in. rebrandingu operacji do THE.Hosting, kontrolowanej przez holenderską WorkTitans B.V. oraz utworzeniu nowego systemu autonomicznego AS209847 w czerwcu 2025 roku. 

W ocenie Insikt Group działania te wyglądały na próbę ukrycia własności i utrzymania usług hostingowych, pomimo sankcji. 

I w tym miejscu holenderskie śledztwo nabiera znaczenia wykraczającego poza jedną sprawę karną. 

Przykrywka dla podmiotów objętych sankcjami

Według FIOD, znaczna część infrastruktury technicznej sankcjonowanego podmiotu została przeniesiona do nowo utworzonej holenderskiej firmy mniej więcej w tym samym okresie, w którym UE objęła sankcjami pierwotną firmę hostingową. 

Służba twierdzi, że nowe przedsiębiorstwo w rzeczywistości pełniło funkcję przykrywki dla podmiotów objętych sankcjami, a drugi holenderski podmiot miał zapewniać połączenie serwerów tej firmy z internetem. 

De Volkskrant wskazuje, że szczególne znaczenie miały ataki na duńskie instytucje publiczne w trakcie wyborów samorządowych między 13 a 19 listopada 2025 roku. Z danych analizowanych przez dziennikarzy miało wynikać, że najczęściej wykorzystywanymi sieciami w prorosyjskich atakach na tamtejsze organy rządowe były właśnie infrastruktury WorkTitans i MIRhosting. 

Ten sam materiał opisuje, że celem ataków nie było wyłącznie techniczne wyłączenie stron internetowych, lecz wywołanie efektu psychologicznego: przekonania, że Rosja lub prorosyjscy aktorzy mogą uderzyć w dowolnym miejscu Europy i zakłócić normalne funkcjonowanie państwa. 

Rozmycie granicy między państwem, cyberprzestępczością i patriotyzmem

Warto podkreślić, że NoName057(16) nie jest klasyczną grupą wywiadowczą w stylu APT28 czy Sandworm, lecz działa w szarej strefie między haktywizmem, cyberprzestępczością i państwową operacją wpływu. 

Według Departamentu Sprawiedliwości USA, grupa nie była wyłącznie oddolną inicjatywą, lecz projektem działającym za przyzwoleniem i przy wsparciu państwa rosyjskiego, częściowo administrowanym przez osoby związane z Centrum Badań i Monitoringu Sieciowego Środowiska Młodzieżowego (organizacją utworzoną na mocy decyzji prezydenta Rosji w 2018 roku). 

Zdaniem amerykańskiej administracji, NoName057(16) wykorzystywała własne narzędzie DDoS, rekrutowała ochotników z całego świata, publikowała rankingi aktywności na Telegramie i wypłacała najlepszym uczestnikom nagrody w kryptowalutach. 

Ten fakt ma zasadnicze znaczenie z racji, że w rosyjskim modelu operacji cybernetycznych rozmycie granicy między państwem, cyberprzestępczością i „ochotniczym patriotyzmem” nie jest przypadkiem, lecz metodą. 

NoName057(16) może wyglądać jak luźna społeczność sympatyków Rosji, ale jej skuteczność zależy od infrastruktury, zadań, list celów, narzędzi, serwerów dowodzenia i kanałów komunikacji. Bez takich elementów „ochotnicy” nie tworzą realnej zdolności operacyjnej. 

Dlatego znaczenie holenderskich zatrzymań polega na tym, że organy ścigania uderzyły nie w samych wykonawców klikających w narzędzie, lecz potencjalne zaplecze logistyczne — w warstwę, która pozwalała atakom wyglądać jak ruch wychodzący z legalnej europejskiej infrastruktury.

Zaprzeczenia i tłumaczenia

MIRhosting zaprzecza jakoby świadomie wspierał cyberprzestępczość, obchodzenie sankcji czy nielegalną aktywność. Firma miała także ogłosić wewnętrzne dochodzenie w sprawie doniesień dotyczących wyborów w Danii oraz czasowe wstrzymanie usług dla WorkTitans. 

Sam Nesterenko twierdził, że przejście do The Hosting nie miało na celu obchodzenia sankcji, a sprzęt i portfel klientów miały zostać przeniesione do WorkTitans jeszcze przed krokami podjętymi przez UE. 

Nawet jeśli przyjąć tę linię obrony, nie znosi ona pytania systemowego: jak to możliwe, że infrastruktura europejskich firm mogła obsługiwać ruch wykorzystywany w rosyjskich operacjach wpływu i cyberatakach. 

Zmiana podejścia europejskich państw

Pytanie brzmi nie tylko „czy operator sam przeprowadzał ataki?”, ale także „czy wiedział lub powinien był wiedzieć, że jego infrastruktura stała się narzędziem działań objętych sankcjami?”. 

Jak wynika z materiału de Volkskrant, system złożony z resellerów, podmiotów pośredniczących i przenoszonych adresy IP utrudniała rozpoznanie prawdziwego klienta końcowego. Właśnie taki model jest atrakcyjny dla cyberprzestępców i aktorów państwowych: formalnie wszystko może wyglądać jak zwykła relacja biznesowa, ale operacyjnie umożliwia ukrycie sprawcy i rozproszenie odpowiedzialności. 

W tym miejscu pojawia się również szerszy problem europejskich węzłów internetowych. Holandia, zwłaszcza dzięki Amsterdamowi i połączeniom z Frankfurtem, jest jednym z kluczowych punktów europejskiej infrastruktury sieciowej. 

Jak pisał KrebsOnSecurity, tzw. bulletproof hosting staje się szczególnie użyteczny wtedy, gdy jest łączony z dużymi legalnymi dostawcami chmurowymi i węzłami wymiany ruchu, ponieważ administratorzy ofiar wahają się przed blokowaniem całych zakresów IP, należących do znanych, europejskich lub globalnych operatorów. To tworzy dla atakujących okno operacyjne: złośliwy ruch miesza się z ruchem legalnym, a reakcja obronna staje się wolniejsza.

Z tej racji zatrzymania w Holandii są sygnałem, że państwa europejskie zaczynają traktować infrastrukturę cybernetyczną jako element wojny hybrydowej, a nie wyłącznie jako neutralną przestrzeń techniczną. 

Europejska infrastruktura w rosyjskich atakach

Najważniejszy wniosek z tej sprawy jest więc następujący: rosyjskie cyberoperacje w Europie nie potrzebują wyłącznie „hakerów w mundurach”. Potrzebują także firm, które wynajmują serwery, odsprzedają przestrzeń, utrzymują adresy IP, zapewniają tranzyt, ignorują zgłoszenia nadużyć albo pozwalają przenosić infrastrukturę z jednego podmiotu do drugiego tuż przed wejściem sankcji. 

Jeżeli ustalenia FIOD, de Volkskrant, KrebsOnSecurity i Recorded Future potwierdzą się w postępowaniu karnym, sprawa WorkTitans i MIRhosting będzie jednym z najbardziej wyrazistych przykładów tego, jak europejska infrastruktura cyfrowa może zostać wykorzystana jako zaplecze rosyjskiej presji politycznej.

Dlatego omawianego zdarzenia nie należy traktować jako kolejnego zatrzymania, lecz niedoskonałości i słabości sankcji, które nie obejmują całego ekosystemu technicznego oraz podatności legalnego hostingu na wykorzystanie przez aktorów państwowych. 

To historia o roli firm pośredniczących w zaciemnianiu odpowiedzialności oraz o tym, że atak DDoS na stronę parlamentu, system identyfikacji cyfrowej czy serwis wyborczy może być częścią tej samej logiki, co operacja dezinformacyjna. 

Rosja nie musi zawsze niszczyć infrastruktury. Czasem wystarczy, że pokaże, iż może ją czasowo sparaliżować, zakłócić zaufanie do państwa i zmusić europejskie instytucje do reakcji na atak, którego źródło zostało ukryte za legalnie wyglądającą firmą hostingową.