От DDoS до репутационной атаки: как молдавскую IT-компанию вытеснили с европейского рынка

IT-компания, созданная в Республике Молдова, за несколько лет выстроила серверную инфраструктуру более чем в 40 странах, обслуживала свыше 150 000 активных клиентов и управляла пулом более 400 000 IP-адресов. Однако, несмотря на масштаб, она оказалась фактически вытеснена с европейского рынка.

Речь о PQ HOSTING — компании, основанной году молдавским предпринимателем Иваном Некулицы. За короткий срок она стала предоставлять хостинг-услуги для международного поставщика серверных решений и управляла инфраструктурой, сопоставимой с возможностями крупных игроков глобального рынка.

Технические атаки: терабитный трафик

По словам основателя, первые тревожные признаки появились в 2022 году: инфраструктура компании стала целью крупных DDoS-атак, по объёмам заметно выходивших за рамки типичных отраслевых инцидентов.

Отдельно отмечается, что, согласно публикациям BBC, масштабная «война хакеров между Украиной и Россией» началась задолго до этого, и в разных эпизодах злоумышленники использовали инфраструктуру различных хостинг-провайдеров в собственных целях.

«Атаки достигали пиков до 2 Тбит/с — речь идет о сотнях гигабит в секунду, а не о десятках. По характеристикам трафика они выглядели как сгенерированные на глобальном уровне и были нацелены непосредственно на сети наших клиентов в ЕС и Республике Молдова», — заявил Иван Некулицы.

Такие объёмы обычно характерны для скоординированных операций, а не для единичных попыток перегрузки. В официальных документах Агентства по кибербезопасности подчёркивается: DDoS-атаки подобного масштаба, как правило, опираются на распределённую международную инфраструктуру, а само по себе большое количество запросов к провайдеру не означает его причастности к незаконной деятельности.

Важный контекст добавляет и тема операции Doppelgänger, на которую ссылаются некоторые публикации. Расследование Insikt Group (Recorded Future) прямо указывает, что инфраструктура кампании использовала серверные ресурсы целого ряда международных провайдеров, включая Amazon Technologies, Inc., Namecheap, Inc. и firstcolo GmbH. Тем самым сам отчёт демонстрирует системный характер использования арендованной хостинг-инфраструктуры третьими сторонами. Наличие IP-адресов или серверов конкретного провайдера в подобных цепочках не доказывает его участия или осведомлённости: это отражает обычную для интернет-экосистемы практику краткосрочной аренды VPS и распределённой инфраструктуры злоумышленниками.

От технической атаки к публичной дискредитации

После эпизодов временной блокировки сервисов последовала вторая волна — значительно более опасная по последствиям: скоординированная медиакомпания. Начавшись в СМИ Европы и США, она затем была подхвачена порталами из стран СНГ. В публикациях компанию и её партнёров стали увязывать с «поддержкой российской пропаганды».

«Это классический сценарий: техническая атака, затем репутационная атака и, в конечном итоге, давление на партнеров и органы власти. Точно такой же шаблон мы видим и в современных геополитических конфликтах», — утверждает Некулицы.

Источники в отрасли отмечают, что рынок хостинга в Восточной Европе крайне конкурентный, и недобросовестные методы встречаются регулярно. DDoS-атаки в таких условиях иногда используют как экономический инструмент для дестабилизации неудобных конкурентов — при этом прямые следы зачастую не остаются.

В 2024 году Республика Молдова сама стала объектом атак на государственные интернет-ресурсы: фиксировались фишинговые копии официальных сайтов и другие схожие методы. В ходе этих эпизодов использовалась инфраструктура ряда крупных хостинг-провайдеров, в том числе M247 Europe SRL — одного из ведущих европейских операторов с глобальным покрытием и бизнес-моделью, сопоставимой с другими международными игроками.

Что говорят государственные учреждения

Официальные ответы Национального инспектората расследований показывают: в 2023–2025 годах учреждение направило 412 запросов хостинг-провайдерам Республики Молдова, причём большинство запросов поступило от иностранных властей. При этом НИР отдельно уточняет, что большое количество запросов само по себе не является признаком вины компании и часто отражает масштаб инфраструктуры и объем клиентской базы.

Со своей стороны Агентство по кибербезопасности сообщает, что не получало официальных уведомлений о DDoS-атаках на частные компании, однако подчеркивает: ответственность за контент клиентов не может возлагаться на провайдера без четкого юридического уведомления.

Что говорит техническая экспертиза

Независимое юридико-техническое заключение, подготовленное экспертом Вадимом Скорничем из MikroTik, указывает: хостинг-провайдеры не имеют законного права осуществлять превентивный мониторинг контента клиентов в рамках GDPR и законодательства ЕС. Более того, современная инфраструктура (HTTPS, VPN, шифрование) фактически делает анализ содержимого невозможным без нарушения закона.

По словам Скорнича, интернет сегодня почти полностью работает на основе сквозного шифрования: HTTPS, широкое использование VPN, туннелирование трафика и другие формы защиты приводят к тому, что провайдер видит лишь технические метаданные (объём трафика, IP-адреса, порты), но не содержание коммуникаций.

«Поставщик инфраструктуры не может читать, чем занимаются его клиенты, не взламывая и не обходя шифрование. Любая попытка подобного рода означала бы либо незаконный перехват, либо внедрение механизмов наблюдения, несовместимых с европейским правом», — отмечает эксперт. На практике провайдеры могут фиксировать аномалии трафика или очевидные нарушения договорных условий (например, чрезмерное потребление ресурсов), но не способны определить характер контента или точную цель деятельности без вмешательства компетентных органов», — подчеркнул Скорнич.

Эксперт из Европейского союза по кибербезопасности, цитируемый в отдельном технико-юридическом отчёте, приложенном к журналистскому расследованию, также предупреждает: автоматическое приравнивание IP-адреса к незаконной деятельности — частая ошибка, которая игнорирует реальный принцип работы хостинг-услуг.

Он поясняет, что IP-адреса — это технический ресурс многократного использования: они динамически распределяются и могут применяться одновременно или последовательно тысячами клиентов, особенно у крупных провайдеров VPS и выделенных серверов. Поэтому появление IP-адреса в отчёте по безопасности или в предварительном расследовании не доказывает контроль, умысел или соучастие провайдера — это лишь признак того, что его инфраструктура была использована третьими лицами.

В отчёте подчёркивается, что, согласно практике ЕС и европейской судебной практике, провайдеры не имеют ни права, ни обязанности осуществлять превентивный мониторинг трафика или контента клиентов: это противоречило бы нормам о защите данных, конфиденциальности коммуникаций и коммерческой тайне. Любое проактивное вмешательство без законных оснований может повлечь серьёзные санкции.

В таком контуре единственным признанным механизмом остаётся «notice-and-takedown»: провайдер обязан действовать лишь после получения официального уведомления от компетентного органа или судебного решения. Только тогда оператор инфраструктуры должен рассмотреть конкретный кейс и применить соразмерные меры — приостановку услуги или ограничение доступа — не затрагивая добросовестных клиентов.

Эксперт отдельно предупреждает об опасности подмены правовых процедур поверхностными техническими корреляциями (IP-адрес, ASN, трафик). «Если такой стандарт будет принят, ни один хостинг-провайдер в ЕС не сможет безопасно функционировать, поскольку его инфраструктура в любой момент может быть использована третьими лицами, включая государственных акторов или преступные группировки, без его ведома», — говорится в отчете.

Эта позиция соотносится и с выводами ряда европейских судов: нейтральность инфраструктуры рассматривается как ключевой принцип цифровой экономики, а хостинг-провайдеры не могут подменять собой органы расследования и не должны нести ответственность за действия клиентов при отсутствии доказательств прямого участия или отказа от сотрудничества после официального уведомления.

Вывод эксперта из ЕС формулируется однозначно: появление IP-адресов в расследовании не является доказательством соучастия, а ограничительные меры, применяемые к провайдерам вне законной процедуры, рискуют оказаться не только несоразмерными, но и противоречащими европейскому праву.

Известный шаблон и за пределами Молдовы

Случай PQ HOSTING, по оценкам ряда наблюдателей, не выглядит исключением. Подобные схемы неоднократно фиксировались в ЕС на рынках хостинга и IT-инфраструктуры, где конкуренция особенно жёсткая, а ставки высоки. Технические расследования компаний, специализирующихся на картографировании интернет-инфраструктуры, показывают: масштабные DDoS-атаки нередко становятся лишь первым этапом более сложного процесса по устранению неудобного поставщика.

Показателен пример, подробно разобранный компанией Censys: она описала принципы работы инфраструктуры DDoSia — одной из наиболее сложных платформ распределённых DDoS-атак, возникших в контексте войны в Украине.

Принципиально важно, что в отчёте Censys атаки описаны как исходившие с серверов самых разных хостинг-провайдеров, включая крупнейшие международные компании. В исследовании прямо упоминается французский хостинг-гигант OVH, а также целый дата-центр в Швейцарии, с инфраструктуры которого также фиксировалась вредоносная активность.

Тем самым отчёт наглядно демонстрирует: наличие атакующего трафика, исходящего из сети хостинг-провайдера, не доказывает его участия или соучастия — это проявление системной уязвимости открытой хостинг-экосистемы, которой пользуются злоумышленники по всему миру.

Согласно анализу, DDoSia опирается на волатильную глобально распределённую инфраструктуру из VPS-серверов, арендуемых на короткие сроки: средняя «продолжительность жизни» таких узлов составляет всего 2–3 дня. Такая архитектура рассчитана на затруднение атрибуции и быстрый перенос инфраструктуры между юрисдикциями.

Отчёт подчёркивает: атаки нацелены не только на государственные и правительственные ресурсы — они часто затрагивают и частных хостинг-провайдеров, сети которых намеренно перегружаются. Прямым следствием становится не только краткосрочная недоступность сервисов, но и запуск цепочки подозрений: отток клиентов, пауза со стороны партнёров и появление публичных нарративов, в которых провайдеру приписывают соучастие или халатность.

В ряде европейских стран за таким механизмом следовали кампании медиадискредитации, где провайдеров связывали с незаконной активностью отдельных клиентов, не разделяя нейтральную инфраструктуру и размещаемый контент. На эту проблему указывают и западные эксперты по кибербезопасности: присутствие IP-адресов в инциденте само по себе не равно вине оператора сети.

В некоторых случаях суды в ЕС позже вмешивались и приходили к выводу, что меры, применённые к провайдерам, были несоразмерными, а ответственность возлагалась ошибочно. Судьи отмечали, что без официальных уведомлений и конкретных доказательств провайдер не может быть обязан к превентивному мониторингу трафика или контента, поскольку такая практика конфликтует с европейскими нормами защиты данных и тайны коммуникаций.

Анализ Censys выделяет и ещё один элемент: атаки могут использоваться не только как политический, но и как экономический инструмент. Когда провайдер становится достаточно крупным, чтобы конкурировать за клиентов на западноевропейских и североамериканских рынках, он может превращаться в цель для игроков, использующих косвенные методы вытеснения вместо открытой коммерческой конкуренции.

В качестве дополнительного контекста приводятся примеры, когда лица попадали в санкционные списки на основании ошибочных публикаций в СМИ и устаревших данных, а затем такие решения пересматривались. Отдельное внимание теме привлекло расследование Politico «The Secret, Slopshod Evidence the EU Uses to Sanction Russian Oligarchs», где говорится о случаях применения санкций на основе неполных или спорных доказательств, что в дальнейшем приводило к пересмотру решений.

В итоге история PQ HOSTING укладывается в уже известную для Европы схему: крупная техническая атака, затем репутационное ухудшение и, как следствие, коммерческая изоляция. Разница в том, что в случае Республики Молдова институциональные и правовые механизмы защиты оказываются более хрупкими, и компания, вышедшая на глобальный рынок, может быть уязвима перед подобными гибридными атаками. Предварительный исход: Европейский суд.