Die Steuerfahndung FIOD beschlagnahmt 800 Server und verhaftet zwei Verdächtige. Ermittlungen gegen Hosting-Netzwerk mit Russland-Bezug.
Die niederländische Finanzermittlungsbehörde FIOD hat bei einer groß angelegten Aktion 800 Server beschlagnahmt und zwei Personen festgenommen. Die Ermittler werfen ihnen vor, über mehrere Hosting-Unternehmen Cyberangriffe, Desinformationskampagnen und andere hybride Operationen zugunsten russischer und belarussischer Akteure unterstützt zu haben.
Im Mittelpunkt der Ermittlungen steht das Hosting-Unternehmen Stark Industries, das nur wenige Tage vor dem russischen Angriff auf die Ukraine im Februar 2022 gegründet wurde. Nach Angaben der Behörde soll das Unternehmen technische Infrastruktur bereitgestellt haben, die man unter anderem für Cyberangriffe, Informationsmanipulation und die Störung öffentlicher sowie wirtschaftlicher Systeme genutzt hat.
Zwei Festnahmen und Razzien in Rechenzentren
Bei den Durchsuchungen der FIOD wurden ein 57-jähriger Geschäftsführer eines Hosting-Anbieters sowie ein 39-jähriger Verantwortlicher eines Unternehmens festgenommen, das die notwendige Internetanbindung bereitgestellt haben soll. Die Behörden durchsuchten mehrere Rechenzentren in Dronten und Schiphol-Rijk sowie weitere Standorte in Enschede und Almere. Neben den 800 Servern beschlagnahmten die Ermittler auch Laptops, Smartphones und Geschäftsunterlagen.
Umgehung von EU-Sanktionen?
Die Europäische Union hatte Stark Industries bereits am 20. Mai 2024 auf ihre Sanktionsliste gesetzt. Laut der niederländischen Behörde FIOD wurde die Infrastruktur anschließend auf eine neu gegründete niederländische Firma übertragen. Die Ermittler vermuten, dass dieses Unternehmen lediglich als Tarnfirma diente, um die Sanktionen zu umgehen.
Laut einem Bericht der niederländischen Zeitung de Volkskrant handelt es sich dabei um die Firma WorkTitans B.V., die ihre Dienstleistungen unter der Marke „THE.Hosting“ anbietet.
Verbindung zu DDoS-Angriffen vermutet
Dem Bericht zufolge sollen dänische Behörden und verschiedene Infrastrukturbetreiber WorkTitans mit Angriffen der prorussischen Hacktivistengruppe NoName057(16) in Verbindung gebracht haben. Die Gruppierung ist seit Jahren für DDoS-Angriffe auf staatliche Einrichtungen, Medienhäuser und kritische Infrastrukturen in Europa bekannt.
Eine weitere Rolle soll das Unternehmen Mirhosting gespielt haben. Der Anbieter betrieb physische Server, stellte Colocation-Dienste bereit und sorgte für die Anbindung an wichtige Internetknotenpunkte in Amsterdam und Frankfurt. Dadurch soll der Datenverkehr von Stark Industries in die europäische Infrastruktur gelangt sein.
Unternehmen weisen Vorwürfe der FIOD zurück
Während WorkTitans auf Anfragen der niederländischen Presse nicht reagierte, erklärte Mirhosting, man habe keine Kenntnis von illegalen Aktivitäten gehabt. Beschwerden über missbräuchliche Nutzung der Infrastruktur habe man nach eigenen Angaben jeweils zeitnah bearbeitet und entsprechende Maßnahmen eingeleitet.
Die Ermittlungen der niederländischen Behörden dauern an. Ob und in welchem Umfang die beschlagnahmte Infrastruktur tatsächlich für Cyberangriffe und Desinformationskampagnen genutzt wurde, müssen nun die weiteren Untersuchungen zeigen.
