Belanda menyita 800 server dan menangkap 2 orang atas dugaan membantu serangan siber

 (krebsonsecurity.com)
1 poin oleh GN⁺ 3 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Otoritas Belanda menangkap dua salah satu pemilik bersama sebuah perusahaan hosting atas dugaan mengoperasikan infrastruktur TI yang digunakan untuk serangan siber, operasi pengaruh, dan kampanye disinformasi Rusia di dalam EU
  • FIOD menangkap seorang pria berusia 57 tahun di Amsterdam dan seorang pria berusia 39 tahun di Den Haag pada 18 Mei, lalu menyita lebih dari 800 server dan berbagai perangkat dalam penggeledahan kantor serta pusat data
  • Penyelidikan berfokus pada Stark Industries, yang muncul tepat sebelum invasi Rusia dan berulang kali terlihat dalam serangan DDoS terhadap Eropa serta layanan proxy dan anonimisasi yang terkait dengan kelompok peretas pro-Rusia
  • Tepat sebelum sanksi EU diberlakukan, aset Stark dipindahkan dari PQHosting ke the[.]hosting, dan entitas ini diketahui hanya menerima konektivitas internet melalui MIRhosting di bawah WorkTitans BV
  • MIRhosting dan Andrey Nesterenko membantah membantu penghindaran sanksi maupun aktivitas ilegal, tetapi WorkTitans untuk sementara ditangguhkan layanannya dan penyelidikan internal terkait pemilu Denmark telah dimulai

Penangkapan di Belanda dan penyitaan server

  • Otoritas penyelidikan kejahatan keuangan Belanda FIOD menangkap seorang pria berusia 57 tahun di Amsterdam dan seorang pria berusia 39 tahun di Den Haag pada 18 Mei, menurut laporan harian Belanda de Volkskrant
  • Keduanya dituduh melanggar hukum sanksi dengan secara langsung atau tidak langsung menyediakan sumber daya ekonomi kepada pihak yang dikenai sanksi EU
  • Para penyidik menggeledah tiga lokasi usaha di Enschede dan Almere serta dua pusat data di Dronten dan Schiphol-Rijk, dan menyita laptop, ponsel, serta lebih dari 800 server, menurut pengumuman otoritas Belanda
  • Pesan yang dikirim kepada pelanggan the[.]hosting menyatakan bahwa data yang tersimpan di server hilang setelah penyitaan dan tidak dapat dipulihkan

Stark Industries dan dugaan penghindaran sanksi

  • Penyelidikan Belanda berfokus pada penyedia hosting besar Stark Industries, yang muncul dua minggu sebelum invasi Rusia ke Ukraina
  • Stark menjadi sumber serangan DDoS berskala besar yang menargetkan sasaran di Eropa, dan dibahas dalam analisis mendalam Mei 2024 sebagai pemasok utama layanan proxy dan anonimisasi yang berulang kali muncul dalam serangan terkait kelompok peretas pro-Rusia
  • Analisis tersebut mengidentifikasi dua bersaudara asal Moldova, Ivan Neculiti dan Yuri Neculiti, serta perusahaan mereka PQHosting, sebagai penyedia salah satu dari dua jalur konektivitas internet utama Stark
  • Pada Mei 2025, EU menjatuhkan sanksi kepada PQHosting dan dua bersaudara Neculiti atas dugaan membantu perang hibrida Rusia
  • Namun, hingga laporan September 2025, sanksi tersebut belum menargetkan jalur konektivitas internet Stark yang tersisa, yaitu ISP Belanda MIRhosting
  • Sekitar dua minggu sebelum pengumuman sanksi EU terhadap PQHosting dan dua bersaudara Neculiti, kabar terkait bocor ke media, dan selama periode itu aset jaringan Stark dipindahkan dari PQHosting ke entitas baru the[.]hosting
  • Menurut laporan September 2025, the[.]hosting berada di bawah kendali entitas Belanda WorkTitans BV, yang dikendalikan oleh Andrey Nesterenko dan Youssef Zinad
  • WorkTitans menerima koneksi ke internet yang lebih luas hanya melalui MIRhosting, dan Zinad sebelumnya pernah bekerja di MIRhosting

Serangan saat pemilu Denmark dan bantahan MIRhosting

  • de Volkskrant meninjau data yang menunjukkan bahwa WorkTitans dan MIRhosting adalah jaringan yang paling banyak digunakan dalam serangan pro-Rusia terhadap lembaga pemerintah Denmark selama pekan pemilu lokal Denmark, dari 13 hingga 19 November 2025
  • Sebelum penangkapannya, Nesterenko membantah mengetahui bahwa server miliknya disalahgunakan oleh pelaku kejahatan siber pro-Rusia
  • Nesterenko mengatakan bahwa saat sanksi EU mulai berlaku pada Mei 2025, ia mengakhiri semua layanan dengan dua bersaudara Neculiti, dan menyatakan bahwa ia dapat menggunakan semua haknya terhadap “pemberitaan yang merugikan dan tidak akurat”
  • MIRhosting mengeluarkan pernyataan bahwa mereka telah memulai penyelidikan internal atas tuduhan terkait pemilu Denmark dan untuk sementara menangguhkan layanan kepada WorkTitans sebagai langkah pencegahan sambil melakukan peninjauan tambahan
  • MIRhosting menyatakan bahwa penyelidikan awal tidak menemukan indikasi bahwa layanan yang mereka kendalikan benar-benar digunakan untuk memengaruhi pemilu Denmark
  • MIRhosting mengklaim tidak ada anomali atau lonjakan trafik jaringan yang teramati selama periode tersebut, dan jika memang terjadi serangan DDoS skala besar, aktivitas seperti itu seharusnya terlihat
  • MIRhosting menyatakan bahwa sebelum pemberitaan media mereka tidak pernah menerima keluhan, abuse report, atau permintaan resmi terkait aktivitas mencurigakan maupun penyalahgunaan jaringan, dan layanan untuk pelanggan lain tetap berjalan normal

Riwayat Andrey Nesterenko dan MIRhosting

  • Andrey Nesterenko mendirikan perusahaan induk MIRhosting, Innovation IT Solutions Corp., pada 2004
  • Innovation IT Solutions Corp. disebut sebagai perusahaan yang meng-host situs hacktivist stopgeorgia[.]ru, yang muncul saat militer Rusia menginvasi Georgia pada 2008
  • stopgeorgia[.]ru diperkenalkan sebagai situs yang mengorganisasi serangan siber terhadap Georgia, dan konflik tersebut dianggap sebagai perang pertama di mana serangan siber yang menonjol berlangsung bersamaan dengan pertempuran militer nyata
  • Dalam balasan email, Nesterenko menyatakan bahwa MIRhosting tidak mendukung kejahatan siber, penghindaran sanksi, atau aktivitas ilegal, dan bahwa tuduhan serta penangkapan oleh otoritas Belanda sangat merugikan dirinya dan perusahaannya
  • Nesterenko mengklaim bahwa peralihan ke the[.]hosting tidak bertujuan menghindari sanksi, dan bahwa perangkat keras serta portofolio pelanggan sudah dipindahkan ke WorkTitans sebelum sanksi itu muncul
  • Nesterenko menyatakan bahwa menutup atau merusak perusahaan infrastruktur Belanda yang sah tidak akan menghentikan kejahatan siber dan justru akan merugikan banyak orang yang tidak bersalah

Peran Youssef Zinad

  • Informasi publik mengenai Youssef Zinad jauh lebih sedikit, dan ia dilaporkan mempertahankan profil rendah sejak laporan pada 2025
  • Nesterenko mengklaim bahwa Zinad bukan karyawan MIRhosting, melainkan membantu dirinya dan MIRhosting dalam tugas bisnis tertentu di bawah kontrak B2B biasa antarperusahaan
  • Namun, dalam email yang sebelumnya dikirim ke KrebsOnSecurity, Nesterenko memasukkan Zinad yang memiliki email @mirhosting.com sebagai referensi dan menjelaskan bahwa ia merupakan bagian dari tim legal perusahaan
  • Situs Belanda stagemarkt[.]nl mencantumkan Youssef Zinad sebagai kontak resmi kantor MIRhosting di Almere
  • de Volkskrant melaporkan bahwa Zinad memblokir akses ke akun LinkedIn miliknya, tidak merespons email, WhatsApp, maupun telepon selama berbulan-bulan, lalu kemudian ditangkap di sebuah hunian di Amsterdam

Bacaan terkait

1 komentar

 
GN⁺ 3 jam lalu
Komentar Hacker News

  • Perlu ditegaskan bahwa perusahaan-perusahaan ini sulit dianggap sebagai perusahaan hosting yang sah. Ini bukan sekadar soal server luar negeri tanpa KYC yang perlu dikhawatirkan; mereka lebih mirip perusahaan kedok milik personel intelijen Rusia untuk intelijen Rusia, tidak menjalankan bisnis lain, dan tampaknya tidak menyediakan hosting bahkan jika orang biasa menginginkannya
    Di Jerman, pernah ada seseorang yang mendaftar ke penyedia layanan email (pissmail) lalu mengirim spam, akibatnya penyedia itu masuk penjara, dan imbasnya saya kehilangan beberapa akun media sosial saya

    • Sepertinya pernyataan “tidak menyediakan hosting bahkan jika orang biasa menginginkannya” tidak tepat. Dulu saya pernah memakai PQ.Hosting karena mendadak butuh VPS sementara, dan ada banyak pengguna normal lain juga
      Syaratnya memang tidak banyak, tetapi bahkan untuk torrent mereka sering sembarang memblokir pengguna, jadi ini bukan bulletproof hosting yang berarti. Sangat mungkin mereka terlibat hal mencurigakan dan kualitas IP-nya juga buruk, tetapi mereka memang tetap menyediakan layanan normal
    • Klaim itu perlu sumber yang mendukung. Kalau tidak, itu nyaris terdengar seperti teori konspirasi

  • Sepanjang karier di bidang keamanan saya selalu berada di pihak bertahan
    Saya tahu bahwa di pasar tertentu, kejahatan lebih menghasilkan uang daripada pekerjaan legal, tetapi saya tetap selalu heran melihat betapa banyak pemikiran, usaha, perencanaan, dan rekayasa yang masuk ke layanan TI infrastruktur untuk penjahat siber. Orang-orang yang terlibat jelas punya kemampuan untuk menghasilkan uang yang layak dari pekerjaan legal, jadi saya sulit memahami mengapa mereka memilih mendukung penjahat

    • Saya pernah melihat seseorang yang punya pekerjaan bagus, karier, dan keluarga, lalu terjun ke kejahatan siber, hancur, dan akhirnya masuk penjara
      Sejauh yang saya pahami, dia menikmati sensasi superioritas karena bisa mengakali hukum, mengeksploitasi orang-orang yang dia anggap bodoh, dan menghasilkan uang dalam prosesnya
      Kalau dipikir lagi, dia tertangkap karena kesalahan yang benar-benar bodoh. Dia terlalu percaya pada keunggulan intelektualnya sendiri dan kebodohan orang lain, sampai akhirnya merasa tak seorang pun bisa menangkapnya
    • Menempuh jalur legal tidak selalu mudah. Terutama di pasar kerja sekarang, itu lebih terasa tergantung tempat tinggalmu
      AS adalah pasar yang tidak biasa karena gaji pekerjaan teknologinya tinggi, dan pekerjaan operasional murni seperti ini pun termasuk yang lebih rendah dalam spektrum gaji tinggi tersebut. Jika di suatu negara gaji rata-rata administrator sistem jauh lebih rendah, misalnya di Eropa Timur sekitar USD 30.000–35.000 per tahun, tidak sulit memahami mengapa dunia kejahatan siber tampak menggoda
    • Bayangkan saja bekerja di organisasi di mana 1) keamanan siber benar-benar menjadi prioritas utama, bukan slogan seperti “nilai pemegang saham”, 2) Anda merancang sistem dengan asumsi bahwa semua pihak lain berniat jahat, 3) anggarannya pada dasarnya tak terbatas, dan 4) bayarannya beberapa kali lipat lebih besar daripada perusahaan swasta
      Ini lingkungan tanpa pengecualian umum seperti “kami menerapkan zero trust, tapi seluruh control plane dikelola Azure jadi mau bagaimana lagi”
    • Sebaiknya jangan memikirkan ini sebagai “menyediakan layanan TI infrastruktur untuk penjahat siber”. Frasa itu membuatnya terdengar seolah mereka pada dasarnya tenaga TI yang menjalankan infrastruktur dan hanya kebetulan pelanggannya dari kalangan itu
      Yang lebih tepat, banyak organisasi kejahatan siber tidak bisa menemukan hosting yang mau menerima mereka, sehingga mereka sendiri melakukan pekerjaan berat membangun infrastruktur TI backend, lalu dari infrastruktur yang sudah terbangun itu mereka berkembang ke beberapa arah
      Pertama, mereka sadar bahwa kebutuhan mereka menunjukkan ada permintaan umum yang belum terpenuhi untuk hosting “tidak banyak tanya dan tidak banyak bicara”, lalu mulai menawarkan hosting sebagai pekerjaan sampingan
      Kedua, dalam situasi seperti pendaftaran ASN, mereka melihat bahwa makin meyakinkan kedok perusahaan hosting palsu itu, makin besar perlindungannya, sehingga mereka memasang kulit luar situs hosting tanpa control plane dan dengan pelanggan palsu seadanya
      Ketiga, mereka menilai bahwa punya pelanggan nyata dengan lalu lintas sah yang keluar dari ASN akan membuat mereka tampak lebih legitim dan membuat ASN lain ragu memblokir satu blok penuh, sehingga mereka benar-benar menyiapkan fasilitas setingkat penyedia VPS biasa di suatu server reyot di suatu tempat. Biasanya ini lebih mungkin berupa perangkat IaaS turnkey tua dan kasar yang dibeli dari pasar kejahatan siber, bukan OpenStack
      Keempat, dan tampaknya ini jalur yang paling umum, mereka berbincang dengan teman-teman penjahat siber lalu mendapat permintaan seperti, “kalau kalian sudah bikin sesuatu sendiri, sekalian host punya kami juga dong,” dan perlahan berkembang menjadi divisi hosting de facto. Saat mereka menerima lebih banyak pelanggan high-touch yang datang dari mulut ke mulut, konfigurasi manual menjadi beban, dan akhirnya mereka mulai mengotomatisasi
    • Masuk ke pekerjaan teknologi yang legal juga bukan perkara semudah itu. Belakangan ini, pekerjaan teknologi itu sendiri sudah nyaris menjadi kemewahan

  • Saat belajar homelab dan mengatur pfSense, saya bisa melihat asal wilayah scan dan serangan yang masuk ke IP internet rumah saya. Saya kaget karena Belanda muncul hampir sebanyak Rusia dan Tiongkok, lalu saya blokir semuanya berdasarkan wilayah
    Saya penasaran kenapa Belanda begitu menarik bagi orang-orang ini

    • Karena server-nya ada di sana. Lihat saja jumlah node Tor di Belanda. Itu tidak berarti operator aslinya berada di Belanda
    • Mungkin karena bandwidth tinggi dan hukuman yang relatif ringan

  • Kalau penasaran dengan data center yang terkenal buruk reputasinya, lihat saja CyberBunker. Secara konsep ini menarik, dan lokasinya juga di Belanda
    https://en.wikipedia.org/wiki/CyberBunker

  • Bagian yang menyebut “sanksi tersebut tidak berhasil menargetkan koneksi internet Stark yang tersisa, yaitu penyedia layanan internet berbasis Belanda MIRhosting” terasa konyol. Saya melewati kantor mirhosting setiap hari

  • Akan bagus juga kalau orang-orang yang membayar agar serangan itu dilakukan ikut disebut namanya dan didakwa

    • Kalau itu FSB, memang mau bisa apa. Rusia menembak jatuh pesawat penumpang penuh warga Belanda pun nyaris tidak ada konsekuensinya
    • Aparat penegak hukum biasanya tidak membicarakan penyelidikan yang sedang berlangsung