Mitä ihmettä? Venäläinen toimittaja lähettää minulle sähköpostin venäjäksi, vaikka edellisellä kerralla olemme viestineet selvällä suomen kielellä. Olen jo klikkaamassa viestiä auki, kun hiirikäteni tekee paniikkijarrutuksen.
Jätän viestin avaamatta, ja alan selvittää toista kautta, onko uutisia Venäjästä julkaisevan Fontanka.fi -sivuston toimittajalla todella asiaa. Pian saan selville, että hän on lomalla ja hänen tietokoneensa on hakkeroitu. Olen siis saanut kalasteluviestin, jonka avulla hyökkääjä todennäköisesti yrittää laajentaa hyökkäystään.
En vielä tunne tapausta tarkemmin. Asialla voivat olla tavalliset, rahaa tavoittelevat verkkorosvot, mutta Venäjään keskittyvä uutissivusto voisi hyvinkin olla myös Venäjän hyväksi toimivien hakkereiden hyökkäyskohde.
Tämä sopisi hyvin tiettyjen venäläisten verkkovakoojien toimintatapaan. Sofacyksi tai Pawn Stormiksi kutsuttu verkkovakoojien ryhmä otti Yhdysvalloissa kohteekseen toimittajan, joka oli tehnyt yhteistyötä puolustushallinnon kanssa. Huijausviestit saivat myös kolme nimekästä bloggaria, vain päiviä sen jälkeen kun nämä olivat haastatelleet presidentti Barack Obamaa.
Kohteena eivät todennäköisesti ole olleet pelkästään kynäniekat itse, vaan heidän avullaan on pyritty pääsemään lähemmäksi valtiojohtoa ja turvaluokiteltua tietoa.
Hyökkääjä iski myös Sanomiin
Sofacy iski myös lukuisiin tiedotusvälineisiin hyökkäyskampanjalla, joka ulottui myös Suomessa mediakonserni Sanomaan. Tavoitteena oli todennäköisesti päästä käsiksi laatulehtien toimittajien sähköposteihin. Sanoman mukaan hyökkäys jäi yritykseksi, mutta onnistumista ei kokonaan voida sulkea pois.
Toinen kohde Suomessa oli Ukrainaa tutkivan Bellingcat-ryhmän suomalaisjäsen Veli-Pekka Kivimäki, joka sai tiedon hyökkäyksen yrityksestä Yleltä.
Jäivätkö Venäjän hakkerit kiinni osaamattomuuttaan? En usko.
Venäjä ei halua polttaa parhaita työkalujaan pehmeisiin kohteisiin kuten toimittajiin ja kansalaisativisteihin. Uusien hyökkäystyökalujen kehittäminen on aina investointi, joten vanhoja kannattaa käyttää niin pitkään kuin niillä syntyy tulosta.
Ryhmään erikoistunut tietoturvatutkija Feike Hacquebord japanilaisesta Trend Micro-yrityksesta kertoo, että ryhmä näyttää onnistuvan ja saavan käsiinsä suuria määriä luottamuksellista tietoa, vaikka sen hyökkäyksistä jää jälkiä eikä niissä käytetä kaikkein hienostuneimpia keinoja.
Venäläisten verkkovakoiluryhmien toimista on näyttöjä ainakin 2000-luvun alkupuolelta. Tänä aikana ne ovat kehittäneet ohjelmistojaan ja hyökkäystaktiikoitaan yhä tehokkaammiksi. Hienostuneimmista konsteista saatiin näyttöä, kun verkkovakoojaryhmä Turla iski Suomen ulkoministeriöön. Ryhmän on todettu käyttäneen esimerkiksi kaapattuja satelliittiyhteyksiä jälkiensä peittämiseen.
Venäjältä ei ole toistaiseksi tullut Edward Snowdenin kaltaista vakoilusalojen paljastajaa.
Toista ääripäätä edustavat Cyber Berkutin kaltaiset hakkeriryhmät, jotka tehtailevat aivan tavallisia tietomurtoja ja palvelunestohyökkäyksia ja kehuskelevat saavutuksillaan netissä. Samalla ne levittävät uhkaavansävyisiä propagandaviestejään.
Parjauskampanjoiden kohteeksi voivat joutua jopa yksittäiset kansalaiset. Esimerkiksi Ukrainaa tutkivan Bellingcat-ryhmän kanssa yhteistyötä tehnyt kansalaisaktivisti Ruslan Leviev kertoo joutuneensa raskaan uhkailukampanjan kohteeksi julkaistuaan tietoja venäläisjoukkojen toiminnasta Ukrainassa. Hän kertoo saavansa jatkuvasti tappouhkauksia ja uhkailun kohdistuvan myös hänen läheisiinsä.
Venäjän verkkohyökkäyskonstien kirjo on siis todella laaja. Suurvalta pystyy poimimaan kyberarsenaalistaan sopivan hyökkäyksen, oli sitten kohteena venäläinen kansalaisaktivisti tai Valkoinen talo.
Parhaat kyvyt jahtaavat verkkovakoojia
Olen pannut merkille, että huomattava osa tietoturvayritysten parhaista kyvyistä on keskittynyt viime vuosina tutkimaan nimenomaan valtiollisten toimijoiden tekemiä hyökkäyksiä. Samalla moni on rohkaistunut puhumaan Venäjästä sen oikealla nimellä, ei ainoastaan liudennetuilla viittauksilla "valtiolliseen toimijaan”. Kukaan heistä ei ole vähätellyt maan hakkerien osaamista, jossa yhdistyvät huippuluokan ohjelmistotekniset taidot sekä vuosisataiset vakoilun perinteet.
Siksi uskon, että Venäjä voi valita, milloin toimet pitää peittää parhain mahdollisin keinoin ja milloin vakoilusta kiinnijääminen on jopa suotavaa. Tietyissä tapauksissa tunkeutuminen voi olla kuin keskisormen näyttämistä kohteelle: et ole suojassa meiltä.
Nyt tutkijat Natossa, läntisissä tiedustelupalveluissa ja kaupallisissa tietototurvayrityksissä selvittävät työkseen suurvallan seuraavia askeleita.
Venäjältä ei ole toistaiseksi tullut Edward Snowdenin kaltaista vakoilusalojen paljastajaa. Häntä odotellessa olemme ennen kaikkea tietoturvatutkijoiden tuottaman tiedon varassa. He taas saavat tietoa lähinnä hyökkäyksistä, joiden jälkiä on osattu etsiä ja löytää.
Korjaus kello 14:09: Ruslan Leviev ei ole Bellingcat-ryhmän jäsen, vaan tehnyt yhteistyötä ryhmän kanssa.