Технические атаки: пики до 2 Тбит/с
По словам основателя, первые тревожные сигналы появились в 2022 году, когда инфраструктура компании стала мишенью масштабных DDoS-атак. Он утверждает, что пиковые значения доходили до 2 Тбит/с, а характер трафика выглядел «сгенерированным на глобальном уровне» и был нацелен на сети клиентов в ЕС и Республике Молдова.
Отдельно отмечается, что в публикациях BBC упоминалась масштабная «война хакеров между Украиной и Россией», начавшаяся задолго до описываемых эпизодов, и в разных случаях злоумышленники использовали инфраструктуру различных хостинг-провайдеров.
В официальных документах Агентства по кибербезопасности, на которые ссылаются авторы, подчёркивается: DDoS-атаки такого масштаба обычно опираются на распределённую международную инфраструктуру, а большое количество запросов к провайдеру само по себе не является доказательством его причастности к незаконной деятельности.
В контексте операции Doppelgänger упоминается расследование Insikt Group (Recorded Future), где говорится, что инфраструктура кампании использовала ресурсы целого ряда международных провайдеров, включая Amazon Technologies, Inc., Namecheap, Inc. и firstcolo GmbH. Из этого делается вывод: арендованная хостинг-инфраструктура системно используется третьими лицами, а присутствие IP-адресов или серверов провайдера в подобных цепочках не доказывает его участие или осведомлённость.
От перебоев — к публичным обвинениям
После эпизодов временной недоступности сервисов, как утверждается, началась вторая волна — репутационная. Кампания стартовала в прессе Европы и США, а затем была подхвачена порталами стран СНГ, где компанию и её партнёров стали обвинять в «поддержке российской пропаганды». Основатель называет это типичным шаблоном: техническая атака, затем репутационный удар и давление на партнёров и органы власти. При этом источники в отрасли отмечают, что рынок хостинга в Восточной Европе крайне конкурентен, и DDoS-атаки иногда используются как инструмент экономического воздействия.
Отдельно приводится и пример 2024 года: Республика Молдова столкнулась с кибератаками на государственные интернет-ресурсы, в том числе с фишинговыми копиями официальных сайтов. В ходе этих эпизодов, как отмечается, использовалась инфраструктура разных провайдеров, включая M247 Europe SRL — одного из ведущих европейских операторов с глобальным покрытием.
Позиция госструктур и экспертов
Национальный инспекторат расследований сообщает, что в 2023–2025 годах направил 412 запросов хостинг-провайдерам Молдовы, большинство — от иностранных властей. При этом НИР уточняет, что большое количество запросов не означает автоматической вины и часто отражает масштаб инфраструктуры и число клиентов.
Агентство по кибербезопасности, в свою очередь, заявляет, что не получало официальных уведомлений о DDoS-атаках на частные компании, и подчёркивает: ответственность за контент клиентов не лежит на провайдере без чёткого юридического уведомления.
Независимое юридико-техническое заключение эксперта Вадима Скорнича (MikroTik) указывает, что провайдеры не имеют законного права на превентивный мониторинг клиентского контента в рамках GDPR и права ЕС. Дополнительно подчёркивается, что из-за HTTPS, VPN и массового шифрования провайдер в основном видит лишь технические метаданные, а не содержание коммуникаций. В этой логике единственным признанным механизмом остаётся «notice-and-takedown»: провайдер обязан действовать после официального уведомления компетентного органа или судебного решения.
Эксперт из ЕС по кибербезопасности, цитируемый в отдельном технико-юридическом отчёте, также отмечает, что автоматическое связывание IP-адресов с незаконной деятельностью — распространённая ошибка: IP-адреса динамически распределяются и используются множеством клиентов, поэтому их появление в расследовании само по себе не доказывает соучастия провайдера.
Шаблон, известный в Европе
В материалах подчёркивается, что подобная схема встречалась и в ЕС: DDoS-атака может стать первым этапом, после которого запускается репутационное давление и возникают коммерческие последствия. В качестве примера приводится анализ Censys по инфраструктуре DDoSia, где описывается использование краткосрочно арендуемых VPS (в среднем на 2–3 дня) и фиксируется вредоносная активность из сетей разных провайдеров, включая OVH и дата-центр в Швейцарии. Тем самым делается вывод: атакующий трафик из сети провайдера не является доказательством его участия — это отражение того, как устроена современная арендуемая интернет-инфраструктура.
В итоге история PQ HOSTING описывается как комбинация технического давления и репутационного удара с последующим эффектом коммерческой изоляции. Предварительный исход: Европейский суд.