Тройной удар по VPN: рейды в Европе, DDoS и новый алгоритм против VLESS

Нидерландские власти изъяли свыше 800 серверов в дата-центрах nLighten в начале июня 2026 года — и это запустило цепочку сбоев, которая затронула десятки хостинг-провайдеров и VPN-сервисов, работающих на российском рынке. По состоянию на 10 июня часть оборудования остаётся отключённой.

Рейды FIOD и отключение питания

Нидерландская финансово-следственная служба (FIOD) провела операцию в дата-центрах nLighten, задержала двух человек и конфисковала серверы по подозрению в нарушении санкционного режима. По версии следствия, изъятая инфраструктура использовалась для кибератак и распространения дезинформации — в частности, серверы компаний WorkTitans и MIRhosting связывают с пророссийскими атаками на государственные ресурсы Нидерландов в ноябре 2025 года. Ответственность за те атаки взяла на себя группировка NoName057(16).

2 июня nLighten без предупреждения отключила электропитание оборудования дистрибьютора MIRhosting. Резервные копии данных оказались заблокированы внутри обесточенных стоек и фактически недоступны. Удар пришёлся на хостинги mchost, VDSina и HostVDS — вместе с их серверами перестали работать размещённые на них VPN-сервисы. По данным DNS-статистики, только у одного из пострадавших провайдеров оказались недоступны не менее 15 тыс. сайтов. Хостинг-провайдер THE.Hosting и вовсе прекратил работу в конце мая, сославшись на форс-мажор, связанный с изъятием серверов.

Инцидент обнажил структурную уязвимость цепочки nLighten — MIRhosting — конечные провайдеры: единая точка отказа лишила клиентов времени на миграцию. Европол, по данным участников рынка, в последние недели проводит активные рейды против провайдеров, сотрудничающих с российским рынком. Ряд VPN-компаний уже объявил о переходе на провайдеров без подобных связей.

DDoS поверх блокировок

Одновременно с инцидентом в nLighten Amnezia VPN зафиксировала масштабную DDoS-атаку на собственную инфраструктуру. Первые неполадки начались ещё 20 мая — тогда произошла массированная блокировка IP-адресов, затронувшая несколько VPN-сервисов одновременно. 1 июня атака вышла на новый уровень: серверы захлестнула волна мусорного трафика, что существенно усугубило проблемы с доступностью. Разработчики подчеркнули, что впервые столкнулись не просто с блокировкой адресов, а с активной атакой непосредственно на инфраструктуру. По состоянию на 8 июня команда сообщила о найденном решении и поэтапном восстановлении, однако доступ для всех пользователей к тому моменту ещё не был восстановлен.

Как ТСПУ блокирует обходы: новый алгоритм

На фоне этих событий в начале июня сообщество зафиксировало отдельную волну ограничений, затронувшую одно из самых распространённых решений для обхода блокировок — связку xray + VLESS + REALITY. Специалисты провели реверс-инжиниринг и описали алгоритм работы обновлённых технических средств противодействия угрозам (ТСПУ), находящихся под управлением Роскомнадзора.

Схема напоминает так называемую «сибирскую блокировку», известную ранее, но с более жёсткими параметрами и значительно расширенным охватом. Принципиально важно: алгоритм не привязан к конкретным IP-адресам серверов — под ограничения попадают целые подсети и автономные системы, в том числе российских дата-центров: Selectel, Яндекс.Облако и других.

Механизм работает через анализ TLS handshake. При каждом соединении система оценивает три параметра:

• входит ли IP-адрес сервера в «подозрительную» подсеть;
• является ли fingerprint «браузера» подозрительным — под фильтр попадают Chrome, Safari и iOS, тогда как Firefox, Edge и ряд других пока проходят;
• было ли более трёх параллельных попыток установить TLS-соединение к серверу в рамках одного SNI за последние 60 секунд.

Если все три условия выполнены — соединения замораживаются на 120 секунд. Попытка сменить fingerprint в этот момент приводит к расширенной блокировке уже на 600 секунд: в течение этого времени замораживаются любые TLS-соединения вне зависимости от параметров. Исследователи отмечают, что алгоритм работает достаточно грубо — под его действие попадают в том числе вполне легитимные сайты, размещённые в российских дата-центрах. Отдельной проблемой остаются MTProto-прокси для Telegram: ТСПУ научились распознавать характерные особенности handshake этого протокола, из-за чего часть прокси остаётся недоступной.

Что дальше

Июньские события формируют новую реальность для пользователей VPN в России: давление идёт одновременно с нескольких сторон — через европейские правоохранительные операции, DDoS-атаки на провайдеров и совершенствование технических средств фильтрации трафика. Отраслевые эксперты, впрочем, не ждут долгосрочного сокращения использования VPN: помимо европейских площадок существуют другие юрисдикции, лояльные к российским пользователям, и после периода миграции спрос на инструменты обхода блокировок, по всей видимости, восстановится.

Мнение ИИ

Ситуация демонстрирует устойчивый регуляторный паттерн: когда прямой запрет технологии невозможен, государство «приватизирует» функцию контроля, делегируя её коммерческим посредникам. История с nLighten — это не аномалия, а логичное продолжение той же логики, только уже на уровне инфраструктуры: европейские дата-центры превращаются в точки давления, а коммерческие договорные цепочки становятся инструментом санкционного правоприменения. Показательна параллель с 2022 годом, когда магистральный провайдер Cogent Communications и хостинг Namecheap отключили российских клиентов без предупреждения — тогда индустрия тоже прошла через экстренную миграцию и в итоге адаптировалась. Принципиальное отличие июня 2026-го — удар нанесён не по конечному сервису, а по инфраструктурному посреднику, что полностью исключает возможность планового переезда. Насколько провайдеры из «нейтральных» юрисдикций — Азии, Ближнего Востока — готовы к тому, что следующий санкционный рейд придёт уже к ним?

▼
Самые интересные и важные новости на нашем канале в Telegram