IT-компания, основанная в Республике Молдова, располагала серверной инфраструктурой более чем в 40 странах мира, обслуживала свыше 150 000 активных клиентов и управляла пулом из более чем 400 000 IP-адресов. Несмотря на это, компания была фактически вытеснена с европейского рынка конкурентами в результате цепочки событий, вызывающих серьёзные вопросы: от кибератак — к скоординированной медиакомпании и, в конечном итоге, к коммерческой изоляции на международном уровне.
Речь идет о компании PQ HOSTING, основанной в 2019 году молдавским предпринимателем Иваном Некулицы, которая за короткое время стала предоставлять хостинг-услуги для международного поставщика серверных решений и управляла обширной инфраструктурой, характерной для крупных игроков глобальной индустрии хостинга.
Технические атаки: терабитный трафик
Отдельно отметим, что, по данным публикаций BBC, масштабная «война хакеров между Украиной и Россией» началась задолго до этого и в разных эпизодах злоумышленники использовали инфраструктуру различных хостинг-провайдеров для своих целей.
«Атаки достигали пиков до 2 Тбит/с — речь идет о сотнях гигабит в секунду, а не о десятках. По характеристикам трафика они выглядели как сгенерированные на глобальном уровне и были нацелены непосредственно на сети наших клиентов в ЕС и Республике Молдова», — заявил Иван Некулицы.
Подобные объемы характерны для скоординированных операций, а не для единичных атак. Официальные документы Агентства по кибербезопасности подтверждают, что DDoS-атаки такого масштаба, как правило, связаны с распределенной на международном уровне инфраструктурой, а большое количество запросов к хостинг-провайдерам само по себе не указывает автоматически на их причастность к незаконной деятельности.
Отдельно стоит отметить, что в контексте операции Doppelgänger, на которую также ссылаются некоторые публикации, расследование Insikt Group (Recorded Future) прямо показывает: инфраструктура этой кампании использовала серверные ресурсы целого ряда международных хостинг-провайдеров, включая Amazon Technologies, Inc., Namecheap, Inc. и firstcolo GmbH. Таким образом, сам отчет подтверждает системный характер использования арендованной хостинг-инфраструктуры третьими лицами. Присутствие IP-адресов или серверов конкретного провайдера в подобных операциях не свидетельствует о его участии или осведомленности, а отражает типичную для современной интернет-экосистемы практику краткосрочной аренды VPS и распределенной инфраструктуры злоумышленниками.
От технической атаки к публичной дискредитации
После эпизодов временной блокировки сервисов последовала вторая, гораздо более опасная волна — скоординированная медиа компания. Изначально появившись в прессе Европы и США, она затем была подхвачена порталами из стран СНГ, которые начали обвинять компанию и ее партнеров в «поддержке российской пропаганды».
«Это классический сценарий: техническая атака, затем репутационная атака и, в конечном итоге, давление на партнеров и органы власти. Точно такой же шаблон мы видим и в современных геополитических конфликтах», — утверждает Некулицы.
Источники в отрасли подтверждают, что рынок хостинга в Восточной Европе чрезвычайно конкурентный, и недобросовестные методы не являются исключением. DDoS-атаки иногда используются как экономический инструмент для дестабилизации неудобных конкурентов, не оставляя прямых следов.
В 2024 году Республика Молдова стала объектом кибератак на государственные интернет-ресурсы, включая создание фишинговых копий официальных сайтов и использование других схожих методов. В ходе этих атак применялась инфраструктура ряда крупных хостинг-провайдеров, в том числе M247 Europe SRL, одного из ведущих европейских операторов с глобальным покрытием и бизнес-моделью, сопоставимой с другими международными игроками рынка.
Что говорят государственные учреждения
Официальные ответы Национального инспектората расследований показывают, что в период 2023–2025 годов учреждение направило 412 запросов хостинг-провайдерам Республики Молдова, большинство из которых поступили от иностранных властей. При этом НИР прямо уточняет, что большое количество запросов не означает автоматически вину компании, а зачастую отражает масштабы инфраструктуры и число клиентов.
В свою очередь Агентство по кибербезопасности отмечает, что не получало официальных уведомлений о DDoS-атаках на частные компании, однако подчеркивает, что ответственность за контент клиентов не лежит на хостинг-провайдере при отсутствии четкого юридического уведомления.
Что говорит техническая экспертиза
Независимое юридико-техническое заключение, подготовленное экспертом Вадимом Скорничем из MikroTik, указывает, что хостинг-провайдеры не имеют законного права осуществлять превентивный мониторинг контента клиентов в соответствии с GDPR и законодательством ЕС. Более того, современная инфраструктура (HTTPS, VPN, шифрование) делает анализ содержимого невозможным без нарушения закона.
По словам Скорнича, современный интернет почти полностью функционирует на основе сквозного шифрования: такие протоколы, как HTTPS, широкое использование VPN, туннелирование трафика и другие формы шифрования приводят к тому, что хостинг-провайдер может видеть лишь технические метаданные (объем трафика, IP-адреса, порты), но не фактическое содержание коммуникаций.
«Поставщик инфраструктуры не может читать, чем занимаются его клиенты, не взламывая и не обходя шифрование. Любая попытка подобного рода означала бы либо незаконный перехват, либо внедрение механизмов наблюдения, несовместимых с европейским правом», — отмечает эксперт. На практике провайдеры могут фиксировать аномалии трафика или очевидные нарушения договорных условий (например, чрезмерное потребление ресурсов), но не способны определить характер контента или точную цель деятельности без вмешательства компетентных органов», — подчеркнул Скорнич.
Эксперт из Европейского союза, специализирующийся на кибербезопасности, цитируемый в отдельном технико-юридическом отчете, приложенном к журналистскому расследованию, отмечает, что автоматическое связывание IP-адреса с незаконной деятельностью является распространенной ошибкой, игнорирующей реальный принцип работы современной интернет-инфраструктуры и хостинг-услуг.
Эксперт поясняет, что в современной сетевой архитектуре IP-адреса являются техническими ресурсами многократного использования, динамически распределяемыми и применяемыми одновременно или последовательно тысячами различных клиентов, особенно в случае крупных провайдеров VPS и выделенных серверов. Таким образом, присутствие IP-адреса в отчете по безопасности или в предварительном расследовании не доказывает контроль, умысел или соучастие провайдера, а лишь указывает на то, что его инфраструктура была использована третьей стороной.
Отчет подчеркивает, что в соответствии с практикой ЕС и европейской судебной практикой хостинг-провайдеры не имеют ни права, ни обязанности осуществлять превентивный мониторинг трафика или контента клиентов, поскольку такой мониторинг нарушал бы законодательство о защите данных, конфиденциальности коммуникаций и коммерческой тайне. Любое проактивное вмешательство без законного основания может подвергнуть провайдера серьезным санкциям.
В этом контексте единственным юридически признанным механизмом является принцип «notice-and-takedown»: провайдер может и обязан действовать только после получения официального уведомления от компетентного органа либо на основании судебного решения. Лишь в этот момент оператор инфраструктуры обязан проверить конкретный случай и применить соразмерные меры, такие как приостановка услуги или ограничение доступа, не затрагивая при этом остальных добросовестных клиентов.
Эксперт предупреждает, что перекладывание уголовной или репутационной ответственности на провайдеров исключительно на основании поверхностных технических корреляций (IP-адрес, ASN, трафик) создает опасный прецедент. «Если такой стандарт будет принят, ни один хостинг-провайдер в ЕС не сможет безопасно функционировать, поскольку его инфраструктура в любой момент может быть использована третьими лицами, включая государственных акторов или преступные группировки, без его ведома», — говорится в отчете.
Данная позиция полностью соответствует выводам ряда европейских судов, которые установили, что нейтральность инфраструктуры является ключевым принципом цифровой экономики. Хостинг-провайдеры не могут быть превращены в органы расследования и не могут нести ответственность за действия клиентов при отсутствии четких доказательств прямого участия или отказа от сотрудничества после официального уведомления.
Вывод эксперта из Европейского союза однозначен: появление IP-адресов в расследовании не является доказательством соучастия, а любые ограничительные меры, применяемые к провайдерам вне установленной законом процедуры, рискуют быть не только несоразмерными, но и противоречащими европейскому праву.
Известный шаблон и за пределами Молдовы
Случай PQ HOSTING не является единичным. Подобная схема неоднократно документировалась в Европейском союзе, особенно на рынках хостинга и IT-инфраструктуры, где конкуренция чрезвычайно жесткая, а коммерческие ставки высоки. Технические расследования, проведенные компаниями, специализирующимися на картографировании интернет-инфраструктуры, показывают, что масштабные DDoS-атаки нередко являются лишь первым этапом более сложного процесса устранения неудобного поставщика.
Принципиально важно, что в отчёте Censys, описаны атаки, осуществлявшиеся с серверов самых разных хостинг-провайдеров, включая крупнейшие международные компании. В частности, в исследовании прямо фигурирует французский хостинг-гигант OVH, а также целый дата-центр, расположенный в Швейцарии, с инфраструктуры которого также фиксировалась вредоносная активность.
Тем самым сам отчёт демонстрирует, что наличие атакующего трафика, исходящего с серверов хостинг-провайдера, не является доказательством его участия или соучастия, а отражает системную уязвимость открытой хостинг-инфраструктуры, которую используют злоумышленники по всему миру.
Согласно анализу, DDoSia использует волатильную, глобально распределенную инфраструктуру, состоящую из VPS-серверов, арендуемых на короткие сроки, со средней продолжительностью жизни всего 2–3 дня. Такая архитектура специально разработана для затруднения атрибуции атак и быстрого перемещения инфраструктуры из одной юрисдикции в другую.
Отчет показывает, что подобные атаки нацелены не только на государственные учреждения или правительственные объекты, но и часто затрагивают частных хостинг-провайдеров, чьи сети намеренно перегружаются. Прямым последствием становится не только временная недоступность сервисов, но и запуск цепочки подозрений: потеря клиентов, приостановка сотрудничества со стороны партнеров и, в дальнейшем, появление публичных нарративов, предполагающих соучастие или халатность.
В ряде европейских государств за этим механизмом последовали кампании медиа дискредитации, в рамках которых хостинг-провайдеров связывали с незаконной деятельностью отдельных клиентов без четкого разграничения между нейтральной инфраструктурой и размещаемым контентом. Именно на это явление указывают и западные эксперты по кибербезопасности, предупреждая, что простое присутствие IP-адресов в инциденте не равнозначно вине оператора сети.
В некоторых из этих случаев европейские суды впоследствии вмешивались, устанавливая, что ограничительные меры, примененные к провайдерам, были несоразмерными, а ответственность была ошибочно возложена на них. Судьи подчеркивали, что при отсутствии официальных уведомлений и конкретных доказательств хостинг-провайдеры не могут быть обязаны к превентивному мониторингу трафика или контента, поскольку такая практика нарушала бы европейское законодательство о защите данных и конфиденциальности коммуникаций.
Анализ Censys выделяет и еще один ключевой элемент этого шаблона: использование атак как экономического, а не только политического инструмента. Когда провайдер становится достаточно крупным, чтобы привлекать клиентов с западноевропейских или североамериканских рынков, он может превратиться в цель для конкурентов, которые прибегают к косвенным методам для его вытеснения, избегая открытой коммерческой конкуренции.
В этом контексте дело PQ HOSTING вписывается в уже известную на европейском уровне схему: масштабная техническая атака, за которой следует ухудшение репутации и, в конечном итоге, коммерческая изоляция. Разница в том, что в случае Республики Молдова институциональные и правовые механизмы защиты более хрупки, и местная компания, вышедшая на глобальный рынок, может быстро стать уязвимой для подобных гибридных атак. Предварительный исход: Европейский суд.
