Pidätykset tapahtuivat Amsterdamissa ja Haagissa. Epäillyt ovat 57-vuotias yrittäjä ja 39-vuotias konserttipianisti, joka omisti hosting-yrityksen Almeressa. FIOD epäilee heitä EU:n pakotesääntöjen rikkomisesta tarjoamalla digitaalisia palveluita verkoille, joita hyödynnettiin venäläisissä kybertoimissa.
Takavarikointitoimissa Drontenissa ja lähellä Schipholia sijaitsevissa datakeskuksissa suljettiin satoja palvelimia. Kyseisten yritysten asiakkaat huomasivat lähes välittömästi, etteivät heidän järjestelmänsä olleet enää saavutettavissa. Sosiaalisessa mediassa käyttäjät raportoivat odottamattomista toimintahäiriöistä.
NoName057(16)
Tutkimuksessa keskeisessä roolissa on hakkeriryhmä NoName057(16). Tämä venäjä-mielinen ryhmä teki useissa EU-maissa digitaalisia DDoS-hyökkäyksiä hallitusten, puolueiden ja julkisten instituutioiden verkkosivustoille.
Promotion
Esimerkiksi Tanskaa kohtasi viime vuonna useita häiriöitä. Puolueiden ja parlamentin verkkosivut kaatuivat kunnallisvaalien aikaan. Myös tanskalaiset maksujärjestelmät ja oikeuslaitoksen digitaaliset järjestelmät kärsivät.
Tutkijoiden mukaan venäjä-mieliset hakkereita käyttivät alankomaalaista infrastruktuuria digitaalisen liikenteensä peittämiseksi. Oman liikenteensä kuljettaminen Alankomaissa sijaitsevien palvelimien kautta loi vaikutelman, että hyökkäykset olivat peräisin eurooppalaisilta yrityksiltä, eivätkä Venäjältä.
EU-pakotteet
Tutkimuksessa merkittävän roolin näyttelee yritys Stark Industries sekä moldovalaiset veljekset Ivan ja Iurie Neculiti. Eurooppalaisten viranomaisten mukaan tämä verkosto avusti venäläisiä kybertoimia eurooppalaisia maita vastaan. Euroopan unioni julkisti siksi vuoden ajan sitten pakotteet Stark Industriesille ja veljeksille. EU:n mukaan niiden tarkoituksena oli suojata Eurooppaa paremmin venäläisiltä hybridauhkilta ja disinformaatiokampanjoilta.
Näiden EU-pakotteiden jälkeen toiminta on tutkimusten mukaan kahden hollantilaisen ja tanskalaisen toimittajan mukaan siirtynyt eri nimien alle muihin yrityksiin. Tämän yhteydessä myös internetosoitteita ja palvelintoimintaa siirrettiin, jotta EU-pakotteita voitiin kiertää.
Kyseiset yritykset kiistävät tietoisesti osallistuneensa venäläisiin kyberhyökkäyksiin. Yksi epäillyistä on aiemmin todennut, että hänen yrityksensä toimi laillisesti eikä sillä ollut mitään salattavaa. Myös kiistettiin, että tiedettiin palvelimien olevan käytössä hyökkäyksiin tai Venäjä-mielisen disinformaation levittämiseen.