800 серверів та піаніст: Нідерланди накрили російську хакерську мережу

Минулого тижня два нідерландські дата-центри, що належать компаніям WorkTitans та MIRhosting, стали епіцентром поліцейської операції. Правоохоронці вилучили близько 800 серверів, які, за даними слідства, використовувалися російськими хакерами для кібератак на європейські урядові та банківські сайти.

Ключовими фігурантами розслідування виявилися двоє молдовських братів — Юрій та Іван Некуліті, які у 2025 році були внесені до санкційного списку ЄС за допомогу російським державним хакерам. Вони були реальними бенефіціарами орендованого обладнання, що стало основою для кіберзлочинних операцій.

В рамках операції було затримано двох осіб: Юсефа Зінада – власника WorkTitans, та Андрія Нестеренка – 39-річного засновника MIRhosting. Нестеренко, громадянин Росії, який проживає в Нідерландах, широко відомий як концертний піаніст та лауреат музичних конкурсів, що додало справі несподіваного резонансу.

Згідно з інформацією, Нестеренко раніше співпрацював з одним із братів Некуліті, про що він сам заявляв у LinkedIn. Однак він стверджує, що припинив ці контакти після введення санкцій. Його компанія MIRhosting заперечує будь-які порушення, заявляючи, що не помічала нічого підозрілого у своїй мережі, тоді як WorkTitans відмовилася від коментарів.

Вилучені сервери напряму пов'язані з російською хакерською групою NoName057(16). Europol звинувачує її в масових атаках на державні сайти та банківські сервіси, використовуючи DDoS-атаки для перевантаження систем. Серед їхніх гучних операцій — атаки на урядові організації Данії у листопаді минулого року та різдвяна атака на поштову службу Франції, яка спричинила значні затримки посилок.

Експерти зазначають, що NoName057(16) сильно залежить від серверів у західних країнах, що робить її вразливою для поліцейських операцій. Ця операція в Нідерландах є частиною ширшої тенденції, оскільки активність хакерів, що діють в інтересах агресивних держав, останнім часом значно зросла.

За даними Міністерства юстиції США, NoName057(16) є прихованим проєктом, до якого залучені співробітники підтримуваного Кремлем Центру моніторингу молодіжного середовища. Група вела щоденний рейтинг DDoS-атак і винагороджувала найактивніших добровольців криптовалютою.

Ця операція підкреслює зростаючу проблему кібератак. Зокрема, у травні цього року жертвою масованого удару стала українська «Нова пошта». Також Росія змінює тактику: шведські розвідники повідомили, що кібератаки РФ тепер спрямовані не лише на цифрову, а й на фізичну інфраструктуру європейських країн. У Німеччині хакери зламали Signal сотень топпосадовців, включно з міністрами та керівництвом Бундестагу, через складну фішингову атаку.

Як пише Bloomberg, Нідерландське агентство з розслідувань фінансових злочинів знешкодило інфраструктуру, яку російські хакери використовували для кібератак по всій Європі.

Андрій Нестеренко, засновник MIRhosting, у LinkedIn визнав, що раніше співпрацював з одним із братів Некуліті, але стверджує, що припинив це робити після введення санкцій.

Історія Андрія Нестеренка, нідерландського піаніста та засновника MIRhosting, ускладнює розуміння того, як далеко можуть зайти мережі кіберзлочинців. Цей випадок служить нагадуванням про постійну боротьбу на кіберфронті та необхідність пильності, навіть коли обличчя ворога здається надзвичайно звичайним.