Parallel zum Angriffskrieg gegen die Ukraine macht Russland mit Falschnachrichten und Cyberattacken Stimmung im Westen. Zwei Brüder aus der Republik Moldau stellen die nötige Technik zur Verfügung. CORRECTIV-Recherchen zeigen, wie ihr Firmenkonstrukt Spuren verwischt und die EU-Politik an der Nase herumführt — denn trotz Sanktionen laufen die Attacken weiter. Die Gebrüder Neculiti teilen die Leidenschaft für sportliche BMWs und Reisen. Ivan, der ältere, bewertet bei Google Restaurantbesuche in Tokio oder Paris (…) Juri, der jüngere, trägt das schöne Leben auf Instagram zur Schau (…) In der IT-Branche sind die beiden Brüder aus der Republik Moldau mit dem Hosting von Internetseiten wohl zu einigem Wohlstand gekommen. Das wäre die wohlwollende Beschreibung ihres beruflichen Aufstiegs. Doch wer den Spuren ihrer Geschäftstätigkeit folgt, der landet immer wieder auch auf der dunklen Seiten der Branche. Es geht um prorussische Hacker, die die Dienste der Neculitis nutzen. Diese CORRECTIV-Recherche führt mitten in den hybriden Krieg, den Russland seit dem Einmarsch in die Ukraine mit neuer Intensität gegen den Westen führt. Es geht um Attacken auf digitale Infrastruktur und um die aufwändigste russische Desinformationskampagne gegen die EU, die bisher bekannt ist. Es geht um Mittelsleute wie die Gebrüder Neculiti, die durch das Bereitstellen der IT-Infrastruktur mutmaßlich wissentlich an solchen Aktivitäten verdienen. Die Spurensuche führt auf die Seychellen, zu einer Briefkastenfirma in London und bis in ein Datenzentrum in den Niederlanden. Sie zeigt auf, wie Angriffe gegen die EU und den Westen bis heute auch von innen geführt werden. (…) Für ihre Attacken benötigen die Angreifer eine technische Infrastruktur, Server, die an das Internet angeschlossen sind. Wie die Schweizer Cyber-Behörde analysierte, stammte der Datenverkehr bei den DDoS-Angriffen von russischen IP-Adressen, Netzwerken einer Firma namens Mirhosting – und von Stark Industries Solutions. Zu Mirhosting kommen wir später noch einmal zurück. Bis heute tauchen die von der Gruppe verwendeten Programme, die die DDoS-Attacken koordinieren, nahezu täglich auf den Servern der Neculitis auf. Das zeigen Analysen von Spamhaus, eines Projekts, das schadhafte Internetaktivitäten beobachtet. Deren Sicherheitsforscher Carel Bitter hat Anfang 2024 in einem Zeitraum von zwei Monaten 48 sogenannte Botnet-Kontrollskripte von NoName057(16) registriert – die Hälfte von ihnen auf Servern von Stark Industries Solutions. „Das ist zu viel Zufall“, sagt Bitter. „In irgendeiner Weise ist man offen für solche Aktivitäten.“ Auf Fragen dazu antwortete Ivan Neculiti nicht.
via correctiv: Hacks und Propaganda: Zwei Brüder aus Moldau tragen Russlands digitalen Krieg nach Europa