In einer der bislang größten Aktionen gegen cyberkriminelle Infrastruktur in Europa haben niederländische Behörden insgesamt 800 Server beschlagnahmt und zwei Männer verhaftet. Die Festnahmen erfolgten am 18. Mai durch die niederländische Steuer- und Ermittlungsbehörde FIOD (Tax Intelligence and Investigation Service). Die beiden Beschuldigten sollen als Mitbetreiber zweier miteinander verbundener Hosting-Unternehmen fungiert haben, deren Infrastruktur gezielt für russische Cyberoperationen, Einflussnahme-Kampagnen und Desinformationsaktionen innerhalb der Europäischen Union genutzt wurde.
Verbindung zu Stark Industries Solutions
Die beiden Verhafteten stehen in direktem Zusammenhang mit einem bereits bekannten Fall: Ihren Hosting-Firmen war zuvor die technische Infrastruktur von Stark Industries Solutions übertragen worden – einem Internet-Service-Provider, der von der EU wegen seiner Rolle als wiederkehrender Ausgangspunkt für Cyberaktivitäten russischer Geheimdienste sanktioniert worden war. Durch die Übernahme dieser Infrastruktur konnten die Beschuldigten offenbar den Betrieb im Wesentlichen fortführen, obwohl die ursprüngliche Firma unter EU-Sanktionen stand. Dieses Vorgehen – das Weiterführen sanktionierter Aktivitäten unter neuem Firmennamen – ist ein klassisches Muster, das Strafverfolgungsbehörden zunehmend herausfordert.
Technischer Hintergrund: Bulletproof Hosting als Werkzeug staatlicher Akteure
Bei der beschlagnahmten Infrastruktur handelt es sich um sogenanntes Bulletproof Hosting – Server-Dienste, die bewusst Anfragen von Behörden ignorieren oder verzögern und damit Angreifern eine stabile Basis für ihre Operationen bieten. Solche Dienste sind ein zentrales Element moderner staatlich gesteuerter Cyberangriffe. Über derartige Infrastrukturen lassen sich DDoS-Angriffe koordinieren, Phishing-Kampagnen starten, Malware verteilen und Desinformationsnetzwerke betreiben – alles mit dem Ziel, die Herkunft zu verschleiern und Ermittlungen zu erschweren.
Die Tatsache, dass allein in dieser Operation 800 Server sichergestellt wurden, verdeutlicht den industriellen Maßstab, in dem solche Angreiferinfrastrukturen heute betrieben werden. Für Unternehmen und Behörden in der EU bedeutet das: Selbst nach Sanktionierungen und Abschaltungen können Angreifer ihre Aktivitäten durch Umstrukturierungen rasch wieder aufnehmen.
Einordnung: Wachsende Bedrohung durch hybride Kriegsführung
Der Fall reiht sich in eine Serie ähnlicher Aktionen europäischer Strafverfolgungsbehörden ein. In den vergangenen Jahren haben Europol, Eurojust und nationale Behörden mehrfach koordiniert gegen Infrastrukturen vorgegangen, die russischen oder russland-nahen Akteuren zugerechnet werden. Die Operationen reichen von klassischen Cyberangriffen auf kritische Infrastruktur bis hin zu koordinierten Desinformationskampagnen, die demokratische Prozesse destabilisieren sollen.
Für IT-Sicherheitsverantwortliche in Europa unterstreicht dieser Fall die Notwendigkeit, nicht nur auf Angriffe selbst zu reagieren, sondern auch die Lieferkette der Angreiferinfrastruktur im Blick zu behalten. Hosting-Provider, IP-Adressen und Netzwerkrouten können wertvolle Indikatoren liefern, um laufende Kampagnen frühzeitig zu erkennen. Die Aktion der niederländischen FIOD zeigt zudem, dass Finanzbehörden zunehmend eine aktive Rolle in der Bekämpfung von Cyberkriminalität übernehmen – ein Trend, der die klassische Arbeitsteilung zwischen IT-Sicherheitsbehörden und Strafverfolgung neu definiert.
Quellen: Hacker News