Suomen ulkoministeriöön iskeneen venäläisen verkkovakouluryhmän Turlan iskut on erotettavissa muiden ryhmien iskuista, sillä tietyt ohjelmistot ja menetelmät jälkien peittämiseen ovat tunnusomaisia vain sille.
Näin Turlalle tyypillinen hyökkäys etenee:
**1 . Verkkovakoilijat aloittavat työnsä hankkimalla tietoja kohteesta. **He selvittävät, minkälaisten asioiden parissa kohteen työntekijät työskentelevät ja keiden kanssa he ovat tyypillisesti tekemisissä. Kohdetta tiedustellessaan vakoilijat selvittivät taustatietoja ihmisistä mm. sosiaalisesta mediasta.
**2. Pieni joukko työntekijöitä saa sähköpostin, joka näyttää tulevan ennestään tutulta henkilöltä. **Sähköpostissa on linkki, joka johtaa tavalliselle verkkosivulle. Sivu voi olla esimerkiksi jokin työntekijän arkeen liittyvä sivusto tai vaikkapa sivu, jolla hän vierailee usein työnsä vuoksi.
**3. Työntekijä vierailee sivustolla, jonka koodiin vakoilijat ovat istuttaneet omaa koodiaan. **Pelkkä sivulla vierailu riittää saastuttamaan kohteen koneen haittaohjelmalla.
4. Hyökkääjät saavat samalla selville lukuisia asioita koneen käyttäjästä, esimerkiksi hänen käyttämänsä selaimen, sen lisäosat, kieliasetukset, fontit ja muita tietoja. Näin kävijältä saadaan ikään kuin sormenjäljet.
5. Sormenjälkien perusteella hyökkääjät pystyvät tunnistamaan, onko kyseessä tavoiteltu henkilö, esimerkiksi ulkoministeriön työntekijä, eikä kuka tahansa samalla sivulla vieraileva ihminen. Tietojen perusteella hyökkääjät voivat arvioida myös, mitä haavoittuvuuksia kannattaa hyödyntää. Hyökkääjät ovat nyt saaneet koneen hallintaansa ja tietävät, kuka kohde on.
**6. Hyökkääjät lähettävät työntekijän koneelle lisää edistyksellisiä haittaohjelmia. **Turla on pystynyt kehittämään yhä uusia ohjelmistoja, joiden ei ole havaittu olevan muiden ryhmien käytössä.
**7. Hyökkääjät käskyttävät haittaohjelmia siirtymään ensimmäiseltä saastutetulta koneelta muutamalle muulle koneelle organisaatiossa. **Vaikka ensimmäisenä saastunut kone romutettaisiin, jatkavat ohjelmat toimintaansa muissa koneissa. Erityisesti hyökkääjät etsivät it-ylläpitäjien koneita. It-ylläpitäjillä on oikeus päästä käsiksi jopa kaikkiin organisaation tietokoneisiin.
**9. It-ylläpidon oikeuksien ansiosta vakoilijoilla on nyt oikeudet päästä käsiksi suureen määrään tietoa. ** Vakoilijat valitsevat, mitä tietoa he haluavat varastaa. Kaikkea järjestelmän tietoa ei kannata siirtää, sillä suurten datapakettien siirto vie aikaa ja voi herättää huomiota.
10. Vakoilijat siirtävät varastamansa tiedot palvelimelle, joka siirtää ne vielä muutamalle muulle palvelimelle. Näin mahdollisesti jäljille päässeiden viranomaisten on vaikea seurata, minne tiedot päätyvät.
11. Lopulta käynnistyy tiettävästi vain Turlan käyttämä jälkien häivytysmenetelmä. Hyökkääjien hallussa oleva palvelin lähettää datan tietoliikennesatelliittiin.
12. Satelliitti lähettää dataa maapallon pinnalle radioaaltojen avulla. Kasperskyn mukaan hyökkääjät ovat pystyttäneet mm. Afrikkaan satelliittiantenneja, joiden avulla he ottavat vastaan varastetut tiedot.
Tietoliikennesatelliitin lähettämää signaalia voi ottaa vastaan useita maita kattavalla alueella tavallisella satelliittiantennilla. Ulkopuolisten on käytännössä mahdotonta selvittää, missä vakoilijoiden satelliittiantenni lataa tietoja ja missä he toimivat. Tämän ansiosta vakoilijat pysyvät täydellisesti piilossa.
__Lisää aiheesta A-studiossa tänään keskiviikkona YLE TV1:ssa klo 21.05.