IT-компания, основанная в Республике Молдова, за короткий срок развернула серверную инфраструктуру более чем в 40 странах, обслуживала свыше 150 000 активных клиентов и управляла пулом из более чем 400 000 IP-адресов. Однако, как утверждается, несмотря на эти масштабы, она оказалась фактически вытеснена с европейского рынка. История описывается как последовательная цепочка: технические атаки, затем — репутационная кампания и, в финале, международная коммерческая изоляция.
Речь идёт о PQ HOSTING — компании, созданной в 2019 году молдавским предпринимателем Иваном Некулицы. По приведённым данным, она быстро вышла на уровень крупного инфраструктурного игрока и предоставляла хостинг-услуги для международного поставщика серверных решений.
Терабитные атаки: что происходило в 2022 году
По словам основателя, первые тревожные сигналы появились в 2022 году: инфраструктура PQ HOSTING стала целью масштабных DDoS-атак. Он утверждает, что трафик достигал пиков до 2 Тбит/с, а характер атак выглядел как «глобально сгенерированный» и был направлен на сети клиентов в ЕС и Республике Молдова.
Отдельно отмечается, что в публикациях BBC упоминалась масштабная «война хакеров между Украиной и Россией», начавшаяся задолго до описываемых эпизодов, и в разных случаях злоумышленники использовали инфраструктуру различных хостинг-провайдеров.
В официальных документах Агентства по кибербезопасности, на которые ссылаются авторы, подчеркивается: DDoS такого масштаба обычно опираются на распределённую международную инфраструктуру, а большое количество запросов к провайдеру само по себе не является доказательством его причастности к незаконной деятельности.
В контексте операции Doppelgänger упоминается расследование Insikt Group (Recorded Future), где говорится, что инфраструктура кампании использовала ресурсы целого ряда международных компаний, включая Amazon Technologies, Inc., Namecheap, Inc. и firstcolo GmbH. Это, как отмечается, подтверждает, что арендованная хостинг-инфраструктура системно применяется третьими лицами, а наличие IP-адресов провайдера в подобных цепочках не доказывает его участие или осведомлённость.
От технических сбоев — к публичным обвинениям
После эпизодов временной недоступности сервисов, как утверждается, произошёл переход ко второй стадии — репутационной. Сначала материалы появились в прессе Европы и США, затем тему подхватили ресурсы стран СНГ. В результате компанию и её партнёров стали связывать с «поддержкой российской пропаганды». Основатель называет это типовым сценарием: техническая атака, затем удар по репутации и давление на партнёров и органы власти.
Источники в отрасли отмечают, что рынок хостинга в Восточной Европе крайне конкурентен, и DDoS-атаки иногда используются как инструмент экономического воздействия — без прямых и очевидных следов.
В качестве контекста приводятся и события 2024 года: Республика Молдова столкнулась с кибератаками на государственные интернет-ресурсы, в том числе с фишинговыми копиями официальных сайтов. В ходе этих атак использовалась инфраструктура ряда крупных провайдеров, включая M247 Europe SRL — одного из ведущих европейских операторов с глобальным покрытием.
Позиция госструктур и техническая экспертиза
Национальный инспекторат расследований сообщает, что в 2023–2025 годах направил 412 запросов хостинг-провайдерам Молдовы, причём большинство — по линии иностранных властей. При этом НИР уточняет, что большое количество запросов не означает автоматической вины компании и часто отражает масштаб инфраструктуры и число клиентов.
Агентство по кибербезопасности отмечает, что не получало официальных уведомлений о DDoS-атаках на частные компании, и подчеркивает: ответственность за контент клиентов не возлагается на провайдера при отсутствии чёткого юридического уведомления.
Независимое юридико-техническое заключение, подготовленное экспертом Вадимом Скорничем (MikroTik), указывает, что провайдеры не имеют законного права на превентивный мониторинг клиентского контента в рамках GDPR и законодательства ЕС. Дополнительно подчёркивается, что при HTTPS, VPN и массовом шифровании провайдер видит в основном технические метаданные, а не содержание коммуникаций. В этой логике единственным признанным механизмом остаётся «notice-and-takedown»: оператор инфраструктуры обязан действовать только после официального уведомления компетентного органа либо решения суда.
Эксперт из ЕС по кибербезопасности, цитируемый в отдельном технико-юридическом отчёте, также указывает, что автоматическое связывание IP-адресов с незаконной деятельностью — распространённая ошибка. IP-адреса динамически распределяются и используются большим количеством клиентов, поэтому их появление в расследовании само по себе не доказывает вину или соучастие провайдера.
Похожая схема встречалась и в ЕС
В материалах подчёркивается, что подобные случаи фиксировались и в Европе: крупная DDoS-атака может стать отправной точкой, после которой запускается репутационная волна и возникают коммерческие последствия. В качестве примера приводится анализ Censys по инфраструктуре DDoSia, где описывается использование краткосрочно арендуемых VPS (в среднем на 2–3 дня) и фиксируется вредоносная активность из сетей разных провайдеров, включая OVH и дата-центр в Швейцарии. Из этого делается вывод: атакующий трафик из сети провайдера не является доказательством его участия — это следствие того, как устроена современная арендуемая интернет-инфраструктура.
В результате история PQ HOSTING описывается как сочетание технического давления и информационного удара, которое привело к эффекту коммерческой изоляции. Предварительный исход: Европейский суд.
