Hà Lan bắt giữ quản trị viên dịch vụ lưu trữ "chống đạn" cho hacker Nga

Cơ quan Thông tin và Điều tra Thuế Hà Lan (FIOD) thông báo đã bắt giữ hai chủ sở hữu của các công ty Hà Lan bị cáo buộc cung cấp dịch vụ lưu trữ "chống đạn" (bulletproof hosting) cho các tác nhân đe dọa từ Nga và giúp họ trốn tránh các lệnh trừng phạt của Liên minh Châu Âu (EU).

Hacker bị bắt giữ

Theo thông báo chính thức, hai nghi phạm bao gồm một người đàn ông 57 tuổi đến từ Amsterdam và một người 39 tuổi đến từ The Hague. Họ bị bắt vào ngày 18/5 vừa qua sau quá trình điều tra chuyên sâu.

Cuộc điều tra và thu giữ tang vật

Các nhà điều tra đã tiến hành khám xét tại ba địa điểm ở Enschede và Almere, cũng như tại hai trung tâm dữ liệu ở Dronten và Schiphol-Rijk. Trong quá trình này, cơ quan chức năng đã thu giữ các máy tính xách tay, điện thoại di động và hơn 800 máy chủ.

FIOD cho biết người đàn ông 57 tuổi là chủ sở hữu và giám đốc của một công ty Hà Lan đóng vai trò là "bình phong" cho một nhà cung cấp dịch vụ lưu trữ web đang bị trừng phạt. Thực thể bị trừng phạt này được thành lập chỉ hai tuần trước khi Nga xâm lược Ukraine và đã tạo điều kiện cho các hoạt động thông tin sai lệch, can thiệp và các cuộc tấn công mạng gây phá hoại nhằm vào các thành viên EU.

Sau khi công ty này bị áp đặt lệnh trừng phạt vào tháng 5/2025, phần lớn cơ sở hạ tầng kỹ thuật của nó đã được chuyển sang công ty của nghi phạm bị bắt.

Vai trò trong mạng lưới hacker

Người đàn ông 39 tuổi, theo FIOD, là giám đốc và chủ sở hữu của một công ty có nhiệm vụ đảm bảo các máy chủ của công ty bình phong luôn hoạt động và trực tuyến.

Mặc dù thông báo của FIOD không nêu tên hai nghi phạm hoặc công ty của họ, nhưng cuộc điều tra kéo dài 8 tháng của báo de Volkskrant đã hé lộ danh tính của họ là Youssef Z. và Andrey N. Hai người này bị cáo buộc đã cung cấp dịch vụ cho Stark Industries, một nhà cung cấp dịch vụ lưu trữ web do hai anh em người Moldova là Iurie và Ivan Neculiti thành lập.

Liên minh Châu Âu từng tuyên bố vào năm ngoái rằng Stark Industries đã "đóng vai trò là người hỗ trợ cho các tác nhân nhà nước Nga và các tổ chức liên kết thực hiện các hoạt động gây mất ổn định, bao gồm thao túng thông tin, can thiệp và tấn công mạng vào Liên minh và các nước thứ ba".

Mirhosting và WorkTitans

Theo điều tra của de Volkskrant, Andrey N. sở hữu Mirhosting, công ty có các máy chủ vật lý được triển khai tại nhiều trung tâm dữ liệu khác nhau. Những máy chủ này được thuê cho Stark Industries, giúp các hacker Nga như nhóm NoName057(16) phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và các loại tấn công khác nhằm vào các mục tiêu của EU.

Sau khi EU áp đặt lệnh trừng phạt cấm công dân và thực thể Châu Âu hỗ trợ Stark vào tháng 5/2025, hai anh em nhà Neculiti đã tái cơ cấu công ty và chuyển một phần hoạt động sang công ty của Youssef Z.

Công ty có tên WorkTitans và đặt trụ sở tại Enschede, hoạt động bằng cách thuê không gian máy chủ và bán lại chúng. Về bản chất, phương thức này giúp che giấu khách hàng thực sự và gây khó khăn cho việc phát hiện các hành vi lạm dụng.