Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Holenderskie służby przeprowadziły szeroko zakrojoną operację przeciwko infrastrukturze hostingowej, która według ustaleń śledczych mogła wspierać cyberataki, działania dezinformacyjne oraz aktywność powiązaną z rosyjskim ekosystemem zagrożeń. Sprawa pokazuje, że współczesne operacje cybernetyczne opierają się nie tylko na złośliwym oprogramowaniu i grupach APT, ale również na komercyjnej infrastrukturze sieciowej dostarczanej przez operatorów hostingu, usług proxy i łączności.
To właśnie warstwa infrastrukturalna staje się dziś jednym z kluczowych pól walki z cyberprzestępczością i działaniami hybrydowymi. Przejęcie serwerów oraz zatrzymania osób podejrzanych o wspieranie takich operacji oznaczają, że organy ścigania coraz częściej celują nie tylko w bezpośrednich sprawców, ale także w podmioty zapewniające im techniczne zaplecze.
W skrócie
FIOD zatrzymała 18 maja 2026 r. dwóch mężczyzn w wieku 57 i 39 lat w ramach śledztwa dotyczącego możliwego naruszenia unijnych sankcji. W toku działań przeszukano kilka lokalizacji biznesowych i dwa centra danych oraz zabezpieczono ponad 800 serwerów.
- zatrzymano dwie osoby podejrzane o wspieranie działalności objętej sankcjami,
- przejęto ponad 800 serwerów,
- śledztwo dotyczy infrastruktury wykorzystywanej m.in. do ataków DDoS i usług anonimizujących,
- sprawa może mieć znaczenie dla walki z obchodzeniem sankcji i operacjami wpływu.
Kontekst / historia
Tło sprawy sięga co najmniej lat 2024–2025, kiedy coraz częściej wskazywano na rolę komercyjnych dostawców hostingu i usług sieciowych w umożliwianiu działań hybrydowych przypisywanych rosyjskiemu zapleczu operacyjnemu. W centrum zainteresowania znalazły się podmioty, które miały zapewniać infrastrukturę dla kampanii DDoS, maskowania źródeł ruchu i obsługi usług proxy.
Szczególne znaczenie miały unijne sankcje nałożone w maju 2025 r. na wybrane podmioty i osoby powiązane z ekosystemem wspierającym destabilizujące działania Rosji. Według opisu sprawy część aktywów infrastrukturalnych i obsługiwanych usług miała po wejściu sankcji zostać przeniesiona do nowych bytów organizacyjnych. Tego typu reorganizacja jest znanym mechanizmem utrudniającym egzekwowanie restrykcji, ponieważ zmienia formalnego operatora, ale niekoniecznie zmienia funkcję samej infrastruktury.
Dodatkowy ciężar sprawie nadają doniesienia o wykorzystywaniu podobnej infrastruktury w operacjach wymierzonych w instytucje publiczne i cele europejskie w okresach szczególnie wrażliwych politycznie. W efekcie mamy do czynienia nie tylko z zagadnieniem cyberprzestępczości, ale również z problemem odporności państw na działania hybrydowe.
Analiza techniczna
Technicznie sprawa nie dotyczy jednego incydentu, lecz całego modelu świadczenia usług infrastrukturalnych, które mogą być wykorzystywane przez aktorów prowadzących wrogie operacje. Chodzi o połączenie hostingu, anonimizacji, zasobów sieciowych i elastycznego zarządzania aktywami w taki sposób, aby utrudniać atrybucję i zapewniać ciągłość działań.
- serwery dedykowane i VPS umożliwiające uruchamianie narzędzi ofensywnych,
- usługi proxy oraz mechanizmy anonimizacji ruchu,
- tranzyt i peering zapewniające stabilną obecność w sieci,
- szybkie przenoszenie zasobów między formalnie niezależnymi podmiotami,
- rozproszenie infrastruktury pomiędzy różnymi centrami danych.
Z perspektywy operacyjnej taka infrastruktura pełni rolę warstwy pośredniej. Atakujący nie muszą prowadzić działań bezpośrednio z systemów, które można łatwo przypisać konkretnej grupie lub państwu. Wystarczy, że korzystają z usług operatorów zapewniających hosting, connectivity i ukrywanie źródeł ruchu.
W tym przypadku istotne są trzy elementy. Po pierwsze, mowa o zapleczu dla ataków DDoS, a więc o infrastrukturze wymagającej dużej przepustowości i wysokiej dostępności. Po drugie, wskazywano na rolę usług proxy i anonimowości, które mogą być wykorzystywane do rekonesansu, nadużyć reklamowych, credential stuffingu, spamu czy ukrywania źródła połączeń. Po trzecie, pojawia się motyw transferu aktywów do nowych podmiotów po wprowadzeniu sankcji, co mogło obejmować zmianę operatora ASN, właściciela sprzętu, modelu rozliczeń lub routingu bez rzeczywistego przerwania świadczenia usług.
Przejęcie ponad 800 serwerów ma znaczenie zarówno dowodowe, jak i operacyjne. Tego typu działanie może jednocześnie przerwać aktywne kampanie, utrudnić obsługę klientów wysokiego ryzyka oraz dostarczyć śledczym logów, konfiguracji, danych bilingowych i artefaktów zarządzania infrastrukturą. To z kolei pomaga mapować łańcuch dostaw usług wspierających cyberprzestępczość oraz działania sponsorowane przez państwa.
Konsekwencje / ryzyko
Najważniejszym skutkiem tej operacji jest potwierdzenie, że dostawcy infrastruktury sieciowej stają się pełnoprawnym celem egzekwowania sankcji oraz działań policyjno-prokuratorskich. Dla branży hostingowej, operatorów łączności i pośredników infrastrukturalnych oznacza to wzrost ryzyka prawnego, operacyjnego i reputacyjnego.
- świadczenie usług podmiotom objętym restrykcjami może prowadzić do odpowiedzialności prawnej,
- ignorowanie wiarygodnych zgłoszeń nadużyć zwiększa ryzyko interwencji służb,
- ukrywanie tożsamości klientów wysokiego ryzyka może zostać uznane za wspieranie działalności szkodliwej,
- schematy szybkiej migracji zasobów mogą być postrzegane jako próba obchodzenia sankcji.
Z perspektywy obronnej rozbijanie infrastruktury pośredniej bywa skuteczniejsze niż neutralizowanie pojedynczych kampanii phishingowych czy botnetów. Uderza bowiem w zdolność przeciwnika do odbudowy zaplecza, ponownego uruchamiania usług i ukrywania ruchu. Dla przedsiębiorstw oznacza to także konieczność dokładniejszej oceny dostawców, ponieważ korzystanie z usług operatora powiązanego z ekosystemem wysokiego ryzyka może prowadzić do problemów compliance i zakłóceń operacyjnych.
Nie można też pominąć skutków ubocznych. W środowisku wielodzierżawnym obok podmiotów wysokiego ryzyka mogą działać również legalni klienci, którzy odczują skutki przejęcia infrastruktury. To zwiększa znaczenie planów ciągłości działania, kopii zapasowych i dywersyfikacji dostawców usług krytycznych.
Rekomendacje
Organizacje powinny potraktować sprawę z Holandii jako wyraźny sygnał ostrzegawczy i przeanalizować własne zależności infrastrukturalne. Bezpieczeństwo nie kończy się dziś na zabezpieczeniu aplikacji i stacji roboczych, ale obejmuje cały łańcuch dostaw usług sieciowych.
- przeprowadzić due diligence dostawców hostingu, VPS, proxy, CDN i tranzytu IP,
- sprawdzać strukturę właścicielską, historię nadużyć i zgodność z sankcjami,
- identyfikować pośrednich dostawców infrastruktury, takich jak resellerzy, operatorzy ASN i centra danych,
- wzmacniać monitoring ruchu pochodzącego z sieci proxy i VPS wysokiego ryzyka,
- łączyć działania zespołów prawnych, zakupowych i bezpieczeństwa w ocenie dostawców,
- utrzymywać kopie zapasowe poza środowiskiem dostawcy i testować scenariusze migracji awaryjnej,
- rozszerzyć działania threat intelligence o analizę operatorów infrastruktury, zakresów IP i zaplecza korporacyjnego.
Podsumowanie
Operacja przeprowadzona w Holandii pokazuje rosnącą determinację europejskich organów w zwalczaniu zaplecza technicznego wykorzystywanego do cyberataków, operacji wpływu i obchodzenia sankcji. Przejęcie ponad 800 serwerów oraz zatrzymanie dwóch podejrzanych to wyraźny sygnał, że odpowiedzialność może obejmować nie tylko bezpośrednich sprawców kampanii, ale także podmioty dostarczające im kluczowe zasoby infrastrukturalne.
Dla rynku oznacza to nowy poziom presji na zgodność, przejrzystość i reakcję na nadużycia. Dla organizacji broniących swoich środowisk najważniejszy wniosek jest prosty: cyberbezpieczeństwo trzeba oceniać również na poziomie dostawców hostingu, tranzytu, proxy i całego zaplecza infrastrukturalnego.