Alankomaat takavarikoi 800 palvelinta Stark Industries -verkosta: sama infrastruktuuri iski Traficomiin ja Kyberturvallisuuskeskukseen
Hollannin vero- ja talousrikostutkinta jäljitti EU-pakotelistalla olevan Stark Industriesin paikalliset tukirakenteet ja kaatoi ne yhdellä iskulla. Suomelle tämä on henkilökohtainen tapaus, koska saman verkon kautta on viime vuosina hyökätty toistuvasti suomalaisviranomaisiin.
Tiivistelma
Hollannin FIOD takavarikoi 18.5. yhteensä 800 palvelinta ja pidätti kaksi henkilöä, jotka tarjosivat hostauspalveluja EU-pakotetulle Stark Industries Solutionsille. Sama infrastruktuuri on yhdistetty NoName057(16) -ryhmän DDoS-hyökkäyksiin, joiden kohteina ovat olleet muun muassa Traficom ja Kyberturvallisuuskeskus.
Kyberturvallisuuskeskus on ollut viime vuosina toistuvasti DDoS-hyökkäysten kohteena. Nyt selviää, että iskujen takana ollut palvelinverkko sijaitsi koko ajan Alankomaissa, ja Hollannin viranomaiset löysivät sen.
Hollannin vero- ja talousrikostutkinta FIOD takavarikoi 18. toukokuuta yhteensä 800 palvelinta sekä kannettavia tietokoneita ja puhelimia. Kohteina olivat kolme yrityskiinteistöä Enschedessä ja Almeressa sekä kaksi datakeskusta Drontenissa ja Schiphol-Rijkissä.
Operaatiossa pidätettiin kaksi miestä. Toinen on 57-vuotias amsterdamilainen, joka omistaa hollantilaisen pöytäyhtiön. Toinen on 39-vuotias haagilainen, joka johtaa yhteyspalveluja tarjoavaa yritystä.
FIOD ei nimennyt epäiltyjä, mutta Krebs on Securityn ja BleepingComputerin tietojen mukaan kyse on Youssef Zinadista, WorkTitans BV:n omistajasta, sekä Andrey Nesterenkosta, MIRhostingin toimitusjohtajasta. WorkTitans tunnetaan markkinoilla brändinimellä THE.Hosting. Nesterenko on Venäjällä syntynyt yrittäjä, joka on toiminut Hollannissa pitkään.
Krebs on Securityn aiempien selvitysten mukaan THE.Hosting on tarjonnut palveluitaan rinta rinnan Stark Industriesin kanssa, ja yritysten asiakaspohja on osin päällekkäinen. WorkTitans on toiminut Enschedessä jo ennen Ukrainan sodan alkua, ja yritys on aiemmin esiintynyt eri yhteyksissä venäläistaustaisten asiakkaiden välittäjänä. Nyt FIOD katsoo, että nimenomaan tämä välittäjärooli muuttui pakotelain rikkomiseksi 20.5.2025 jälkeen.
Hostauspalveluja on FIOD:n mukaan myyty Stark Industriesille tai sen sidosyhtiöille pakotteen voimaantulon jälkeen. Juuri tämä ajallinen yksityiskohta tekee tapauksesta rikosjutun eikä pelkkää hallinnollista huomautusta.
Pakotelain rikkominen on kova syyte
Syyte koskee Hollannin pakotelain (Sanctiewet) rikkomista. Tutkijoiden mukaan miehet välittivät taloudellisia resursseja epäsuorasti EU:n pakottamalle taholle eli Stark Industries Solutions Ltd:lle.
EU asetti Stark Industriesin pakotelistalle 20.5.2025. Yhtiö rekisteröitiin 10.2.2022, kaksi viikkoa ennen Venäjän hyökkäystä Ukrainaan. Ajoitus ei näytä sattumalta.
Pakotelistalle joutuminen kieltää EU-toimijoita luovuttamasta varoja tai taloudellisia resursseja kohteelle. Käytännössä Stark Industriesin tukirakenteet jäivät kuitenkin lähes vuodeksi koskemattomiksi, vaikka pakotteet olivat voimassa.
Palvelimet pyörivät, DDoS-iskut jatkuivat ja hostauslaskut kulkivat hollantilaisten pöytäyhtiöiden kautta. Vasta FIOD:n operaatio toukokuussa 2026 antoi pakotelistalle konkreettisen sisällön.
– Web-hostausyritys tuki tutkintaryhmän mukaan Venäjän federaation toimia, jotka heikentävät demokratiaa ja turvallisuutta, muun muassa tietomanipulaatiolla ja julkisten ja taloudellisten järjestelmien häiritsemisellä, FIOD kertoo tiedotteessaan.
Suomennos hollannista on toimituksen. FIOD kertoo, että palvelimia käytettiin DDoS-hyökkäyksiin eurooppalaisia kohteita vastaan, proxy- ja anonymisointipalveluihin sekä ulkomaisiin vaikuttamis- ja disinformaatiokampanjoihin.
NoName057(16) ja suomalainen kärkilista
Tässä kohdassa tarina muuttuu suomalaisille konkreettiseksi. BleepingComputer yhdistää WorkTitansin ja THE.Hostingin infrastruktuurin venäläismielisen NoName057(16) -hakkerointiryhmän DDoS-kampanjoihin.
NoName057(16) on iskenyt suomalaiskohteisiin vahvistetusti useaan otteeseen. Listalla ovat puolustusministeriö, sisäministeriö ja korkein oikeus. Mukana ovat eduskuntapuolueiden sivustot, VR:n ja Liikenneviraston aliverkkotunnukset sekä useiden kaupunkien verkkosivut.
Ryhmä alkoi nostaa Suomea kohdelistalleen vuoden 2023 Nato-jäsenyyspäätöksen yhteydessä. Iskuaaltoja on tullut myös presidentinvaalien ja eduskunnan kantaa ottavien istuntojen aikaan. Hyökkäykset ovat tyypillisesti olleet kestoltaan tuntien luokkaa ja teknisesti melko vaatimattomia, mutta julkisuusarvo on ollut ryhmälle pääasia.
Erityisen kiusallista on, että kohteena on ollut myös Suomen oma kyberpuolustusvirasto. Sekä Traficom että sen alainen Kyberturvallisuuskeskus ovat olleet ryhmän hyökkäysten maaleja. Kyberpuolustuksen oma virasto on joutunut yhden ja saman palvelinverkon maalitauluksi.
Sama infrastruktuuri on yhdistetty laajemmin myös tanskalaisiin DDoS-iskuihin marraskuun 2025 kunnallisvaalien aikaan. Kuvio on ihan sama joka maassa: hyökkäysaalto ajoittuu poliittisesti herkkään hetkeen.
Miten tällainen infrastruktuuri pystyy toimimaan EU:n sisällä yli kolme vuotta? Vastaus on tylsä mutta tärkeä.
Pakotelista koskee Stark Industriesia, mutta käytännön kytkennät kulkivat hollantilaisten pöytäyhtiöiden ja tavallisten hostausoperaattoreiden kautta. Paperilla kaikki näytti EU-toimijoiden väliseltä kaupalta.
Mitä takedown muuttaa
Yksittäisenä toimijana WorkTitansin ja sen yhteistyökumppanin osuus on nyt poikki. Stark Industriesin laajempi verkko jatkaa kuitenkin toimintaansa muiden välittäjien kautta, etenkin kun bulletproof-hostauksen kysyntä ei katoa minnekään.
Hollannin operaatio on silti varsin poikkeuksellinen. Se on yksi harvoista tapauksista, joissa eurooppalainen viranomainen on käyttänyt pakotelainsäädäntöä konkreettisena kalikkana tietoinfrastruktuuria vastaan, eikä vain rahoitusvirtoja vastaan.
NoName057(16) jatkaa toimintaansa toistaiseksi. Ryhmä julkaisee uudet kohdelistansa Telegramissa lähes päivittäin, ja Suomi on ollut niillä toistuvasti vuoden 2023 Nato-jäsenyyspäätöksestä lähtien. Jää nähtäväksi, kuinka nopeasti iskut palaavat entiselle tasolle uuden palveluntarjoajan kautta.