De arrestaties vonden plaats in Amsterdam en Den Haag. De verdachten zijn een 57-jarige ondernemer en een 39-jarige concertpianist die eigenaar was van een hostingbedrijf in Almere. De FIOD verdenkt hen van het overtreden van EU-sanctieregels door digitale diensten beschikbaar te stellen aan netwerken die werden ingezet voor Russische cyberoperaties.
Bij invallen in datacentra in Dronten en nabij Schiphol werden honderden servers afgesloten. Klanten van de betrokken bedrijven merkten vrijwel direct dat hun systemen niet meer bereikbaar waren. Op sociale media verschenen berichten van gebruikers die spraken van onverwachte storingen.
NoName057(16)
In het onderzoek staat de hackersgroep NoName057(16) centraal. Deze pro-Russische groep voerde in verscheidene EU-landen digitale DDoS-aanvallen uit op websites van overheden, politieke partijen en publieke instellingen.
Promotion
Zo kreeg Denemarken vorig jaar te maken met meerdere verstoringen. Websites van politieke partijen en het parlement vielen uit rond gemeenteraadsverkiezingen. Ook Deense digitale systemen voor betalingen en rechtspraak werden getroffen.
Volgens onderzoekers maakten de pro-Russische hackers gebruik van Nederlandse infrastructuur om hun digitale verkeer minder zichtbaar te maken. Door internetverkeer via servers in Nederland te laten lopen, leek het alsof de aanvallen afkomstig waren van Europese bedrijven in plaats van uit Rusland.
EU-sancties
Een belangrijke rol in het onderzoek speelt het bedrijf Stark Industries en de Moldavische broers Ivan en Iurie Neculiti. Volgens Europese autoriteiten faciliteerde dat netwerk Russische cyberoperaties tegen Europese landen. De Europese Unie kondigde daarom een jaar geleden sancties aan tegen Stark Industries en de broers. Volgens de EU moest Europa daarmee beter worden beschermd tegen Russische hybride dreigingen en desinformatie-campagnes.
Na die EU-sancties zouden de activiteiten volgens onderzoek van twee Nederlandse en Deense journalisten onder andere namen zijn doorgeschoven naar andere bedrijven. Daarbij zouden ook de internetadressen en server-activiteiten zijn overgezet om de EU-sancties te omzeilen.
De betrokken bedrijven ontkennen bewust te hebben meegewerkt aan Russische cyberaanvallen. Een van de verdachten verklaarde eerder dat zijn bedrijf legaal werkte en dat hij niets te verbergen had. Ook werd ontkend dat bekend was dat servers werden gebruikt voor aanvallen of het verspreiden van pro-Russische desinformatie.