Minulý týden zablokovala americká FBI přes tři desítky doppelgangerů – proruských dezinformačních klonů velkých evropských a amerických zpravodajských médií. Podle zprávy Qurium Media Foundation se část infrastruktury těchto klonů nacházela v Česku. Do konce letošního července využívala českých serverů ruská firma Aéza, která skrze přeprodejce svých služeb, TNSecurity, hostovala část infrastruktury doppelgangerů. O tom, že se na serverech Aézy nacházejí klony, ale nemusela firma vědět. Nejedná se navíc o obsah, který by byl evropským právem považován za nezákonný. Investigace.cz se s vedením Aézy spojila a pokusila se zjistit, zda jsou si zneužití svých služeb vědomi.
Klíčovým aktérem zprávy analytiků z Qurium Media Foundation je firma Aéza, ruský poskytovatel hostingu založený v roce 2021. Firma se nachází v Petrohradu, má ale přeprodejce a sesterskou firmu v Evropě.
[infobox heading=“Qurium Media Foudation”] Qurium Media Foundation je švédská nezisková organizace, která od roku 2014 nabízí bezpečnostní služby ohroženým nezávislým médiím a lidskoprávním organizacím. Qurium v současné době poskytuje zabezpečený hosting organizacím ze 70 různých zemí. Nadace provozuje také hosting Virtual Road, jejž využívá i web investigace.cz. Podrobnější informace o nadaci Qurium nejsou kvůli bezpečnostním důvodům veřejně dostupné.[/infobox]
„Génius Arsenij“
Spolumajitelem a neoficiálním šéfem této firmy je Arsenij Penzev. Jednadvacetiletý muž v šedém tričku a ležérních kalhotách, označovaný svým byznys partnerem za „génia“ a „mozek“ firmy, vypadá jako typický gamer (vášnivý hráč počítačových her). „Myslel jsem si, že uvidím chlapiska v kvádru. Je příjemné vidět obyčejné kluky,“ napsal jeden z uživatelů v komentáři k živému vysílání na YouTube, v němž Penzev odpovídal na otázky.Název „Aéza“ je údajně odvozen od cheat kódu v počítačové hře GTA, jenž má hráči zajistit ochranu před policií (cheat kódy, například speciální slova, ve hrách poskytují nějaké výhody). „Slovo ‚aéza‘ symbolizuje nezranitelnost,“ upřesňuje Penzev ve videu. Příslušnost k subkultuře gamerů naznačuje i maskot Aézy – kreslená postavička dívky s růžovými vlasy ve stylu japonského anime.
Mladík původem z Petrohradu skutečně pochází z prostředí gamerů. V pouhých dvanácti letech spustil několik projektů zaměřených na hosting hry Minecraft. Podle zdrojů Fontanky až do roku 2018 provozoval společně s dalším obchodním partnerem tři servery s měsíčním příjmem 900 tisíc rublů, v přepočtu 333 tisíc korun.
[caption id=“attachment_42811” align=“aligncenter” width=“2520”]
Arsenij Penzev (nalevo) během živého vysíláni, kde odpovídá na otázky o Aéze. Zdroj: YouTube[/caption]
O dalším byznysovém projektu Arsenije Penzeva – ruském hostingu MSK Host, který mladý muž řídil spolu s dalším partnerem a budoucím spolumajitelem Aézy, Jurijem Bozojanem, se psalo i v zahraničních médiích. Hosting byl v září 2021 napaden hacktivisty (spojení slov „hacker“ a „aktivista“), dle jejich prohlášení s cílem „zbavit ruský internet tak velkého hostera nelegálních aktivit, jakým je MSK Host“. Tou dobou Aéza Group existovala už několik měsíců.
Hackeři jako důkaz zveřejnili seznam klientů, kteří díky službám MSK Hostu provozovali nelegální aktivity. Databázi slíbili poslat policii. Rovněž uvedli, že v době svého útoku našli v poštovní schránce MSK Host určené pro zasílání stížností (tzv. abuse reportů) více než 100 nepřečtených e-mailů obsahujících oznamení, což podle hackerů mělo svědčit o systematické ignoraci stížností ze strany hostingu.
„Mnohokrát jsme provozovatelům MSK Hostingu zasílali stížnosti kvůli hostingu phishingových stránek, cardingu (zneužívání kradených platebních karet, pozn. red.), malwaru atd. Nikdo nereagoval, zavírali nad tím oči nebo nás posílali do háje,“ uvedli hacktivisté.
Mohou za to Ukrajinci!
Majitelé hostingu však s obviněním z ignorace stížností nesouhlasili. „Ve skutečnosti jsme reagovali pouze na oficiální žádosti úřadů o spolupráci. Automatické zprávy (hlášení incidentů zneužití hostingu, pozn. red.) jsme ignorovali, protože jsme měli vlastní monitoring škodlivého obsahu a sami jsme takové klienty během několika minut blokovali,“ stojí ve vyjádření hostingu.Arsenij Penzev má ovšem ještě jedno, daleko jednodušší vysvětlení, proč byl jeho hosting napaden: „Když začala válka, napadli nás ukrajinští hackeři.“ Válka ale začala o tři měsíce později.
Na otázku redakce, v čem podle něj spočívala jejich motivace, odpověděl, že „se zřejmě chtěli pomstít všem Rusům. Podobně byly napadeny a zveřejněny databáze Yandexu a jiných ruských firem, a to zhruba ve stejném období (databáze Yandex.Jeda unikla druhého března roku 2022, o čtyři měsíce později, pozn. red.).“ Naší redakci se však nepodařilo potvrdit informace o ukrajinském původu zmíněných hacktivistů.
Letos Aéza podle firemního komuniké získala hosting zpět a plánuje ho znovu rozjet, a to i přes skepsi bývalých klientů MSK Host, kteří během útoku přišli o veškerá svá data. V srpnu a září minulého roku ve Velké Británii vznikly dvě zahraniční pobočky Aézy – Aéza Group Limited, která zanikla koncem stejného roku, a Aéza International.
Je Aéza neprůstřelná?
Německá investigativní redakce Correctiv, jež v polovině července 2024 zveřejnila článek o zjištěních analytiků Quria, požádala Aézu o vyjádření k jejich zapojení do dezinformační kampaně Doppelganger. Do doby vydání článku však od firmy žádnou odpověď neobdržela.
Redakce investigace.cz se pokusila jednatele a zakladatele firmy Aéza Arsenije Penzeva kontaktovat přímo prostřednictvím chatu na Telegramu. K našemu překvapení se ozval. „Ze samotného názvu zprávy (zprávy Quria ‚Jak Rusko využívá evropské firmy k propagandě‘, pozn. red.) je mi zle. Vůbec nevím, co ten ‚Doppleganger‘ znamená.“ Když jsme mu podrobně vysvětlili fenomén doppelgangerů, Penzev vědomý podíl své firmy na kampani kategoricky popřel.
V oficiálním vyjádření, jež Aéza následně poskytla naší redakci, firma uvedla: „Z více než tisíce stížností na zneužití, které jsme v průběhu času prověřili, jsme nikdy neobdrželi žádné oznámení o zneužití falešných mediálních webů nebo o pokusech šíření propagandy.“ Penzev také tvrdil, že nedostal žádnou žádost o vyjádření.
Po prohledání svého inboxu nakonec našel neotevřenou zprávu s žádostí o vyjádření. Z jeho dalšího sdělení pro investigaci.cz vyplývá, že podobně jako v případě MSK Host automatické zprávy o spamu Aéza ignoruje – firma má vlastní monitorovací systém – a odpovídá pouze na oficiální žádosti úřadů, případně oznámení držitelů autorských práv.
„Nejsme žádný offshore ani bulletproof hosting (hosting, který je připraven poskytovat platformu pro nelegální aktivity a nereagovat na stížnosti nebo výzvy k zastavení nelegálních činností, pozn. red.). Řídíme se zákonem. Jsme otevřeni spolupráci s policií, a pokud nás požádají, abychom pozastavili poskytování služeb našemu klientovi, který přeprodává služby hostingu dál, uděláme to. Pokud nás požádají o data o tomto klientovi, poskytneme je,“ vysvětluje Penzev ve videu.
„‚Černucha‘ (česky ‚černota‘, pozn. red.) se dá najít na každém hostingu, rozdíl je jen v tom, zda hoster reaguje na stížnosti, nebo ne,“ sdělil v osobní komunikaci.
Že Aéza plní všechny požadavky ruských a britských státních orgánů a nepodporuje nelegální aktivity na svém hostingu, zakladatel firmy zdůrazňuje i v několika živých přenosech na YouTube, určených zejména pro klienty hostingu. „Jednoduše neporušujte zákon a nehostujte žádné nelegální věci, pak na vás nedorazí zatykač,“ varuje Penzev. Dodává však, že sama od sebe Aéza nelegální aktivity na svém hostingu nesleduje a nehlásí. „V čem je pro nás výhodné vás udávat? Jednoduše si půjdete sednout a přestaneme od vás inkasovat peníze,“ dodává mladý muž základní logiku podnikání v této branži.
Černucha
„Černucha“, jak říká Penzev, se ovšem nevyhnula ani Aéze. Služeb hostingu prostřednictvím resellera například využívalo jedno z největších nelegálních tržišť s drogami a zbraněmi BlackSprut. Objem transakcí na BlackSprutu loni podle společnosti Chainalysis, jež se věnuje rozborům blockchainových operací, tvořil více než čtvrtinu celkového obratu na černém trhu.[caption id=“attachment_42827” align=“aligncenter” width=“1085”]
Reklama na jedno z největších nelegálních tržišť s drogami a zbraněmi BlackSprut v Moskvě Zdroj: Recorded Future[/caption]
[infobox heading=“Kdo je Reseller?”] Uživatel si zakoupí hostingový balíček od poskytovatele a tuto kapacitu pak pronajímá svým koncovým klientům, obvykle po menších částech nebo s přidanými službami.[/infobox]
Penzev odpovědnost přisuzuje pouze svým klientům – přeprodejcům. „Tento market se nacházel na hostingu našeho resellera SunHost. Tomu jsme ale vypověděli smlouvu kvůli velkému množství oznámení, která jsme dostávali od Spamhaus,“ vysvětlil. „Podobně jako v případě TNSecurity jsme i s nimi ukončili spolupráci,“ dodává. Obě firmy skutečně oznámily přerušení spolupráce s dodavatelem hostingových služeb ve svých telegramových kanálech. Stalo se to však až 24. července, tedy dva týdny po vydání zprávy Quria.
Podle českých právníků by se právní odpovědnost mohla vztahovat i na původní poskytovatele, nikoli jen na přeprodejce. Oba by však museli být subjekty evropského práva a navíc by se muselo jednat o nelegální obsah, což dezinformace nejsou. „Oba subjekty totiž poskytují konečnému uživateli službu uložení informací na jeho žádost. Obecně by měl spíše horší postavení primární poskytovatel hostingu, protože je to on, kdo předmětný obsah skutečně hostuje na svých serverech,“ vysvětluje Dalibor Kovář z Havel & Partners.
Aéza nemá podle Penzeva kapacitu sledovat každého klienta. „Jako hosting dáváme upozornění a snažíme se klientům, kteří hostují nelegální věci, vyhnout. Pokud ale hoster nedostane žádné oznámení o nezákonném obsahu, pak nemá šanci zjistit, co se děje,“ vysvětluje.
Stejně jako SunHost inzeruje firma TNSecurity (pod značkou LetsHost) své služby jako „bulletproof hosting“, tedy jako hosting, který je připraven hostit nelegální aktivity a nereagovat na stížnosti nebo výzvy k zastavení nelegálních činností. Nápis „bulletproof hosting“ mají i v názvu svých oficiálních telegramových kanálů.
[caption id=“attachment_42812” align=“aligncenter” width=“1125”]
Nápis „bulletproof hosting“ mají i SunHost and LetsHost v názvu svých oficiálních telegramových kanálů. Zdroj: Telegram[/caption]
Podle odborníka na právo v oblasti IT a také spolumajitele cloudového úložiště Ulož.to* Jana Karabiny jsou reselleři často využíváni k tomu, aby zkomplikovali odhalování kyberzločinů a chránili tím primárního poskytovatele hostingu. „Přeprodejci jsou další entitou mezi webem a jednoduše dohledatelným provozovatelem fyzického hardwaru, která má zpomalit domáhání se spravedlnosti, což je hlavní cíl kyberzločinců. Ti totiž rovnou počítají s tím, že jejich scam bude odhalen – cílem je jeho fungování co nejvíce prodloužit,” vysvětluje.
Apolitický byznys
Po začátku války v Ukrajině v únoru 2022 začal marketingový obsah Aézy reflektovat novou politickou krizi. „Jsme připraveni poskytnout podporu jakýmkoli projektům, které utrpí škodu kvůli geopolitickému napětí mezi dvěma státy,“ napsala firma v den začátku invaze do Ukrajiny.„Vždy jsme také zůstávali apolitičtí a nikdy jsme nezveřejnili žádné politické heslo. Od vzniku společnosti poskytujeme anglické a ukrajinské lokalizace pro naše uživatelské rozhraní, protože věříme, že politické události by neměly narušovat ušlechtilé cíle našich klientů, kterými jsou rozvoj mezinárodního internetu a jejich vlastních mezinárodních IT produktů,“ podotýká Aéza ve vyjádření pro investigaci.cz
Na otázku redakce, zda by poskytli hostingové služby i opozičním nebo zakázaným organizacím v Rusku, například redakci Meduza, Penzev bez váhání odpověděl, že pro Aézu jsou to stejní klienti jako kdokoli jiný. „Pokud nám z Roskomnadzoru (ruský cenzurní úřad, o němž jsme psali zde, pozn. red.) dorazí stížnost, pak ji přepošleme klientovi. Tímto naše mise končí.“
V únoru tohoto roku se firma dostala do rejstříku poskytovatelů hostingu schvalovaných Roskomnadzorem (RKN), což oznamila na svých sociálních sítích. Podle nového ruského zákona nesmí poskytovatel hostingu, který není schválen RKN, v Rusku své služby nabízet. Na otázku jednoho ze svých klientů, zda to znamená, že Aéza zpřístupní obsah domén svých klientů státnímu cenzurnímu úřadu, Penzev odpověděl: „Nedělejte nic protizákonného, pak se nebudete mít čeho bát.“
[caption id=“attachment_42824” align=“aligncenter” width=“1920”]
“Užij si svobodu! Aéza je proti jakýmkoliv omezením a je mezinárodní firmou, která nabízí možnost platit v rublech.” Zdroj: Aéza[/caption]
Jen o měsíc později firma zveřejnila několik upoutávek na své služby, jež mají pomoci omezení ruského cenzurního úřadu Roskomnadzor obcházet: „Rusko je plně připravené na zavedení železné opony na internetu. Pro zachování přístupu na internet si vytvořte server, který pomůže obcházet blokace“ nebo „Roskomnadzor Ti bere svobodu? Neomezuj se, zvol si služby Aézy“.
Poté, co ruské úřady zpomalily YouTube, začala Aéza poutat na služby VPN, jež umožňují sledování videí ve stejně vysoké kvalitě jako dříve. „Pokud přijde od ruských úřadů dotaz ohledně používání VPN, nezareagujeme na něj, protože využívání VPN přes zahraniční servery spadá do jurisdikce Velké Británie. Navíc jsme zatím nikdy žádný takový dotaz ohledně služeb VPN nedostali,“ vysvětluje Penzev v jednom z živých vysílání na YouTube.
Stejně jako v případě útoku na MSK Host Penzev nelichotivé závěry o činnosti Aézy a označení firmy jako „bulletproof“, tedy neprůstřelného hostingu, přičítá nenávisti vůči Rusům. „Autoři zprávy (Qurium, pozn. red.) zjevně nerozumí tomu, jak funguje hosting, a vymýšlejí si, jen aby ukázali, že Rusové jsou špatní,“ konstatuje v rozhovoru s investigací.cz.
Desetistránková analýza, kterou Aéza zpracovala v reakci na zprávu Quria a zaslala naší redakci, je uzavřena tvrzením, že tento výzkumný projekt, stejně jako německá investigativní redakce Correctiv, jsou placeni ukrajinským státem s jasným cílem poškodit ruský byznys. „Za pět let publikovalo vydavatelství (tím Aéza myslí Qurium, pozn. red.) pouze dvanáct zpráv, z nichž osm bylo zaměřeno na poškození obrazu Ruska a jedna na obranu ukrajinského prezidenta,“ uvádí firma jako jeden z důvodů, proč považují zjištění nadace za zaujaté.
Mezi dalšími výtkami firmy vůči autorům zprávy je nedostatek transparentnosti v jejich financování a také informací o umístění serverů nebo registraci Quria. Samotná nadace nezveřejňování informací o své organizaci vysvětluje bezpečnostními důvody. Redakci investigace.cz. jsou její registrační údaje známy.
Aéza jde o dům dál
Svou motivaci ohledně rozhovoru s naší redakcí Penzev odůvodňuje touhou očistit jméno své firmy na Západě. „Článek (text Correctivu, pozn. red.) nás nijak negativně neovlivňuje, ale rád bych si v zahraničních médiích přečetl i pravdivý příběh – jsme totiž apolitičtí, a přitom nás obviňují ze spolupráce s ruskou vládou,“ vysvětlil zakladatel Aézy na začátku komunikace s redakcí v půlce července, čerstvě po vydání zprávy Quria.Negativní dopad se dostavil o dva týdny později, koncem července, kdy česká firma DataCamp, jež patří jednomu z nejbohatších Čechů Zděnku Cendrovi a poskytovala Aéze „hardware“, vypověděla firmě smlouvu. „Jakmile jsme v polovině července byli informováni o aktivitách Aézy, provedli jsme interní šetření, které odhalilo závažné porušení našich etických směrnic. Na základě toho jsme jejich službu ukončili,“ vysvětlila mluvčí DataCampu.
Podle vyjádření firmy Aéza odebírala DataCampem poskytovanou službu Bare Metal & Connectivity od února 2023. „Princip této služby spočívá v pronájmu serverů, přičemž klientovi zůstává plná kontrola nad jejich správou. Naše společnost tak nemá žádný přístup k obsahu hostovanému našimi klienty. To zásadním způsobem omezuje naši schopnost jej přímo monitorovat, a proto v rámci této produktové řady jednáme na základě hlášení třetích stran,“ vysvětluje mluvčí české společnosti.
[caption id=“attachment_42830” align=“aligncenter” width=“1125”]
Minulý týden zablokovala americká FBI přes tři desítky doppelgangerů – proruských dezinformačních klonů velkých evropských a amerických zpravodajských médií. Zdroj: X[/caption]
Poté, co DataCamp rozvázal smlouvu s Aézou, ruská firma ve svých oficiálních telegramových kanálech oznámila, že nahradila servery DataCampu službami od německé firmy Aurologic. „DataCamp nečekaně ukončil smlouvu, aniž by poskytl vysvětlení,“ napsala Aéza v chatu pro zahraniční klienty. V dalším ruskojazyčném chatu Penzev pro klienty uvedl: „Provider byl extrémně rusofobní a jen čekal na záminku, aby nás vyhodil. Tušili jsme to a připravovali jsme se na odchod sami, ale plánovali jsme ho až na konec srpna.“ Ruskojazyční klienti Aézy přijali tuto zprávu s pochopením. „Buzeranti evropští, nenechaji Rusy pracovat,“ rozčiloval se jeden z klientů. „Jak vysoká je pravděpodobnost, že vás vyhodí i nový poskytovatel (Aurologic, pozn. red.)?” „Má rád Rusy, nebo je neutrální?“ vyptávali se další.
Penzev později v chatu dodal, že firma měla už tři měsíce před rozvázáním smlouvy konflikt s technickým ředitelem DataCampu. „Máme radost, že jsme odešli, škoda, že dříve, než jsme si to naplánovali,“ napsal Penzev. Společnost DataCamp vyjádření Aézy nekomentovala.
Frankfurtská firma Aurologic, jež také figuruje ve výzkumné zprávě Quria a nyní je náhradním dodavatelem Aézy, novinářům Correctivu původně tvrdila, že s firmou Aéza v současnosti nespolupracuje – v minulosti ale prý měla Aéza v jejich datovém centru servery. Penzev však redakci investigace.cz poskytl screenshot zprávy, v níž šéf Aurologic Joseph Hoffmann varuje Aézu před novináři. „Ahoj, spojil se s námi reportér a vyptával se na Aézu. Zmiňoval něco o ruské propagandě. Nemyslím si, že je to pravda, a samozřejmě se nic nechystám podnikat, ale chtějí vás kontaktovat přímo – řekl jsem to samé, co by řekl každý poskytovatel, že jsme neutrální a že ohledně těchto podivných obvinění nepodnikneme žádné kroky.“ Poté Hoffmann dodal, že neprozradil, „co mají s Aézou“.
„Je to jen mezi námi,“ napsal šéf Aurologic. Německým novinářům šéf Aurologic řekl, že se záležitostí začne zabývat až v okamžiku, kdy firmu osloví oficiální úřady. „Mohl bych takto vyhodit všechny, ale pak bych zůstal bez tržeb,“ konstatoval.
