800 серверов и пианист: Нидерланды накрыли российскую хакерскую сеть

На прошлой неделе два нидерландских дата-центра, принадлежащих компаниям WorkTitans и MIRhosting, стали эпицентром полицейской операции. Правоохранители изъяли около 800 серверов, которые, по данным следствия, использовались российскими хакерами для кибератак на европейские правительственные и банковские сайты.

Ключевыми фигурантами расследования оказались двое молдавских братьев — Юрий и Иван Некулицэ, которые в 2025 году были внесены в санкционный список ЕС за помощь российским государственным хакерам. Они были реальными бенефициарами арендованного оборудования, ставшего основой для киберпреступных операций.

В рамках операции были задержаны два человека: Юсеф Зинад – владелец WorkTitans, и Андрей Нестеренко – 39-летний основатель MIRhosting. Нестеренко, гражданин России, проживающий в Нидерландах, широко известен как концертный пианист и лауреат музыкальных конкурсов, что придало делу неожиданный резонанс.

Согласно информации, Нестеренко ранее сотрудничал с одним из братьев Некулицэ, о чем он сам заявлял в LinkedIn. Однако он утверждает, что прекратил эти контакты после введения санкций. Его компания MIRhosting отрицает какие-либо нарушения, заявляя, что не замечала ничего подозрительного в своей сети, тогда как WorkTitans отказалась от комментариев.

Изъятые серверы напрямую связаны с российской хакерской группой NoName057(16). Europol обвиняет ее в массовых атаках на государственные сайты и банковские сервисы, используя DDoS-атаки для перегрузки систем. Среди их громких операций — атаки на правительственные организации Дании в ноябре прошлого года и рождественская атака на почтовую службу Франции, которая вызвала значительные задержки посылок.

Эксперты отмечают, что NoName057(16) сильно зависит от серверов в западных странах, что делает ее уязвимой для полицейских операций. Эта операция в Нидерландах является частью более широкой тенденции, поскольку активность хакеров, действующих в интересах агрессивных государств, в последнее время значительно возросла.

По данным Министерства юстиции США, NoName057(16) является скрытым проектом, в который вовлечены сотрудники поддерживаемого Кремлем Центра мониторинга молодежной среды. Группа вела ежедневный рейтинг DDoS-атак и вознаграждала наиболее активных добровольцев криптовалютой.

Эта операция подчеркивает растущую проблему кибератак. В частности, в мае этого года жертвой массированного удара стала украинская «Нова пошта». Также Россия меняет тактику: шведские разведчики сообщили, что кибератаки РФ теперь направлены не только на цифровую, но и на физическую инфраструктуру европейских стран. В Германии хакеры взломали Signal сотен топ-чиновников, включая министров и руководство Бундестага, через сложную фишинговую атаку.

Как пишет Bloomberg, Нидерландское агентство по расследованиям финансовых преступлений обезвредило инфраструктуру, которую российские хакеры использовали для кибератак по всей Европе.

Андрей Нестеренко, основатель MIRhosting, в LinkedIn признал, что ранее сотрудничал с одним из братьев Некулицэ, но утверждает, что прекратил это делать после введения санкций.

История Андрея Нестеренко, нидерландского пианиста и основателя MIRhosting, усложняет понимание того, как далеко могут зайти сети киберпреступников. Этот случай служит напоминанием о постоянной борьбе на киберфронте и необходимости бдительности, даже когда лицо врага кажется чрезвычайно обычным.