HackerangriffeCyberkriminalitätCloud-Sicherheit

Niederlande zerschlagen Hosting-Infrastruktur für russische Cyberangriffe und Desinformation

Von CyberDeutsch Redaktion
Niederlande zerschlagen Hosting-Infrastruktur für russische Cyberangriffe und Desinformation
Zusammenfassung

Die niederländischen Behörden haben einen bedeutsamen Schlag gegen die Unterstützungsinfrastruktur von Cyberangriffen und Desinformationskampagnen geführt. Die Finanzermittlungsbehörde FIOD verhaftete zwei Personen und beschlagnahmte 800 Server einer Webhosting-Firma, die russischen und belarussischen Sanktionärseinrichtungen als Plattform diente. Das Unternehmen Stark Industries, gegründet kurz vor Russlands Invasion der Ukraine, soll gezielt Cyberangriffen, Interferenzoperationen und Desinformationskampagnen ermöglicht haben. Nach der EU-Sanktionierung wurde die Infrastruktur auf das neu gegründete niederländische Unternehmen WorkTitans B.V. übertragen, das Ermittler als Tarnunternehmen identifizierten. Die Beschlagnahme zeigt, wie kritische Internetinfrastruktur in Europa für Kampagnen gegen demokratische Institutionen missbraucht wurde. Für deutsche Nutzer und Organisationen ist dieser Fall relevant, da die Infrastruktur auch Ziele im deutschsprachigen Raum unterstützte und beispielsweise pro-russische Hackergruppen wie NoName057(16) für DDoS-Angriffe gegen kritische Organisationen nutzte. Die Aktion verdeutlicht die wachsende Bedrohung durch staatlich unterstützte Cyberaktivitäten in Deutschland und Europa sowie die Wichtigkeit internationaler Koordination zur Bekämpfung solcher Infrastrukturen.

Die Festnahmen erfolgte nach intensiven Ermittlungen der niederländischen Finanzkriminalitätsbehörde FIOD. Neben dem 57-jährigen Geschäftsführer von Stark Industries wurde auch ein 39-jähriger Mann verhaftet, der eine separate Firma leitete, die Internetkonnektivität bereitstellte. Gemeinsam sollen beide Verdächtige indirekt wirtschaftliche Ressourcen an von der EU sanktionierte russische und belarussische Entitäten geleitet haben.

Stark Industries wurde am 10. Februar 2022 gegründet — nur wenige Wochen vor Russlands Invasion der Ukraine. Das Timing ist kaum zufällig: Die Hosting-Firma wurde offenbar von Anfang an als Werkzeug zur Unterstützung russischer Operationen konzipiert. Die Behörden dokumentierten, wie die Plattform Cyberangriffe ermöglichte, die darauf abzielten, “Demokratie und Sicherheit zu untergraben, einschließlich durch Informationsmanipulation und Störung öffentlicher sowie wirtschaftlicher Systeme”.

Nachdem die EU Stark Industries am 20. Mai des vergangenen Jahres auf die Sanktionsliste setzte, gründeten die Betreiber schnell ein neues Unternehmen: WorkTitans B.V., das unter der Marke THE.Hosting operiert. Dies ist ein klassisches Muster bei sanktionierten Entitäten — die Infrastruktur wird einfach in eine neue juristische Person überführt, um die Maßnahmen zu umgehen. Die Recherchen der niederländischen Zeitung De Volkskrant enthüllten, dass WorkTitans mit der pro-russischen Hacktivist-Gruppe NoName057(16) verbunden ist, die für massive DDoS-Angriffe bekannt ist.

Besonderes Augenmerk verdient auch die Rolle von Mirhosting aus Almere: Das Unternehmen verwaltete physische Server, bot Colocation-Dienste an und stellte Hochkapazitäts-Konnektivität zu großen Internet-Austauschknoten in Amsterdam und Frankfurt bereit. Damit fungierte Mirhosting als zentrale Transitschicht, durch die der Datenverkehr von Stark’s Infrastruktur nach Europa gelangte. Während Mirhosting behauptet, schnell auf Missbrauchsmeldungen reagiert zu haben, zeigt die Beschlagnahme von 800 Servern das wahre Ausmaß der Operationen.

Für deutsche Cybersicherheit ist dieser Fall hochrelevant. Das BSI sollte prüfen, ob ähnliche Strukturen auch deutsche Infrastruktur für state-sponsored Attacks nutzen. Unternehmen, die mit europäischen Hosting-Anbietern arbeiten, sollten ihre Lieferantenketten überprüfen und sicherstellen, dass keine Sanktionsverstöße stattfinden.

Ähnliche Artikel