欧洲刑警组织上星期端掉的两个数据中心,揭开了俄罗斯黑客组织如何用“换壳”把戏持续攻击欧洲多年的黑产链条。荷兰金融犯罪调查局(FIOD)在一次突击搜查中,直接查封了800台服务器,逮捕了两名据称向克里姆林宫关联黑客组织NoName057(16)提供托管服务的男子。
被端掉的两家托管公司一个叫WorkTitans,一个叫MIRhosting,都涉嫌违反欧盟制裁令——把服务器租给被制裁对象控制的实体,帮他们绕开禁令继续干活。FIOD把两家数据中心全给关了,服务器直接搬走。
逮捕的两个人身份很清晰:57岁的WorkTitans老板Youssef Zinad,还有39岁的MIRhosting创始人Andrey Nesterenko。Nesterenko是住在荷兰的俄罗斯公民,有个让人意外的身份——拿过奖的音乐会钢琴家。他在LinkedIn上否认自己有问题,说早在那些被制裁的人上了黑名单之后,就切断了跟他们的关系,MIRhosting也没在自己网络上发现过什么可疑活动。
但追查这条制裁线索的过程,远比Nesterenko说的复杂得多。整件事的源头是两个摩尔多瓦兄弟,Iurie Neculiti和Ivan Neculiti。他们开的Stark Industries Solutions托管公司,在2022年俄罗斯全面入侵乌克兰之后,成了欧洲境内俄罗斯网络攻击最猖獗的“助推器”之一。2025年5月,欧盟正式把Neculiti兄弟和他们的公司列入制裁名单,指控他们帮俄罗斯国家支持的黑客搞网络攻击、虚假信息战以及针对欧盟成员国的其他颠覆活动。
问题是这俩人消息灵通得让人生疑。据网络安全博客Krebs on Security报道,摩尔多瓦和欧盟媒体在制裁公布前大概12天就报出了黑名单的事,等于提前给兄弟俩发了预警。制裁还没落地,Stark Industries就已经改名THE.hosting,把业务转移到了WorkTitans BV——就是这次被荷兰警方端掉的那家实体。换句话说,支撑网络攻击的基础设施根本没动,连物理服务器都是原来那批,只是换了个公司名头的壳,继续在荷兰跑着原来的活。
查封的这800台服务器,直接跟NoName057(16)有关。这个亲俄黑客组织从2022年开始,专搞分布式拒绝服务攻击(DDoS),把欧洲各国的政府网站、银行服务、关键基础设施挨个打了一遍。手法简单粗暴:用流量把目标网站灌到瘫痪下线。这招没什么技术门槛,但足够让丹麦政府机构、法国邮政服务统统中招,中断业务。
NoName057(16)可不是什么野路子自愿者团队。美国司法部早已认定,这个组织本质上是克里姆林宫支持的项目,成员里包含了一个叫Center的机构雇员。至于是什么样的Center、具体承担什么职能,目前披露的细节还不多,但“受国家支持”这个定性已经足够说明,欧洲这些年遭遇的不是零散的网络流氓行为,而是有组织、有靠山的系统性攻击。
从Neculiti兄弟提前得知制裁消息、到Stark Industries秒变THE.hosting、再到服务器无缝迁移到荷兰继续运作,整条路径暴露了一个尴尬的现实:即便有制裁清单,只要托管商愿意配合、法人代表换得够快,支撑国家级网络攻击的底层设施就可以像换衣服一样脱掉旧壳穿新壳。FIOD这次查抄,打掉的是一个节点,但类似的壳公司会不会还在其他欧洲城市继续运转,没人敢打包票。
热门跟贴