Kun Yhdysvallat sanoi lokakuun alussa Venäjän korkeimpien viranomaisten valtuuttaneen verkkohyökkäykset Yhdysvaltain demokraattipuoluetta vastaan, esiin ei tuotu konkreettisia todisteita.
Venäjän valtion on väitetty masinoineen vuosikausia laajamittaista verkkovakoilua eri maiden valtiollisia toimijoita ja mediayhtiöitä sekä kansainvälisiä järjestöjä vastaan.
Viime aikoina on uutisoitu Venäjän kytköksistä verkkohyökkäyksiin muun muassa Saksan parlamenttia, ranskalaista TV5 Mondea, sotilasliitto Natoa ja maailman antidopingtoimistoa WADAa vastaan.
Suomikaan ei ole välttynyt kyberhyökkäyksiltä, joiden jälkien uskotaan johtavan Venäjän valtiolliseen tiedustelutoimintaan. Tunnetuimpia ovat ulkoministeriöön ja Sanoma-konserniin kohdistuneet verkkovakoilukampanjat.
Suoraa yhteyttä valtioon ei ole todistettu
Maailman johtavien tietoturvayhtiöiden mukaan verkkovakoilun jäljet johtavat usein Venäjälle. Valtion osallisuutta verkkovakoiluun ei ole kuitenkaan pystytty todistamaan aukottomasti.
– Teknisiä todisteita on lähes mahdotonta esittää, mutta haittaohjelmia analysoidessa voidaan päästä jollekin maantieteelliselle alueelle ja osoittaa hakkereiden kommunikoivan venäjäksi, sanoo venäläisen tietoturvayhtiö Kaspersky Labin romanialainen asiantuntija Stefan Tanase.
Myös verkkovakoilun laajuus ja haittaohjelmien pitkää kehitystyötä vaativa monimutkainen rakenne ovat asioita, jotka viittaavat toiminnan olevan valtion rahoittamaa.
– Jos vakoiluohjelman kehittämiseen kuuluu puolesta miljoonasta miljoonaan dollaria, hanketta voidaan pitää valtion tukemana, kertoo Viktor Ivanovski venäläisestä Group-IB-tietoturvayhtiöstä.
Asiantuntijoiden arviot Venäjän turvallisuuspalveluiden osuudesta verkkohyökkäyksiin vaihtelevat. Moni on kuitenkin valmis täydellä varmuudella sanomaan, että hyökkäyksien takana on venäjänkielisiä hakkereita, jotka saavat valtiollista rahoitusta.
Fancy Bear toimii Moskovan aikavyöhykkeellä
Kuuluisin Venäjän valtioon liitetyistä hakkeriryhmistä on Fancy Bear. Se tunnetaan myös muun muassa nimillä Sednit, Apt28, Sofacy ja Pawn Storm.
Slovakialaisen tietoturvayhtiö ESETin raportin mukaan Fancy Bearin toiminta ajoittuu pääsääntöisesti arkipäiviin aamuyhdeksän ja kello viiden väliin Moskovan aikavyöhykkeellä. Samanlaisia päätelmiä venäläisiksi epäiltyjen vakoiluohjelmien aikaleimoista ovat aiemmin tehneet esimerkiksi yhdysvaltalainen FireEye ja suomalainen F-Secure.
Toista vuosien ajan toiminutta venäjänkielistä hakkeriryhmää kutsutaan nimellä Turla. Sen väitetään vakoilleen satoja käyttäjiä yli 45 maassa. Turlan uskotaan olevan takana myös vuonna 2013 paljastuneessa, Suomen ulkoministeriöön kohdistuneessa verkkovakoilussa.
– Kuten Fancy Bearin, myös Turlan kohteena ovat olleet enimmäkseen Nato-maat. Lisäksi vakoiltu tieto on sellaista, josta voi saada geopoliittista hyötyä, sanoo Stefan Tanase tietoturvayhtiö Kaspersky Labistä.
Hakkereilla Kalashnikoviin verrattava maine
Valtaosassa venäläisten tekemissä verkkohyökkäyksissä vaikuttimena eivät asiantuntijoiden mukaan kuitenkaan ole poliittiset syyt, vaan suora taloudellinen hyöty.
Venäläisten hakkerien aktiivisuutta kansainvälisessä verkkorikollisuudessa selitetään maan korkealla matemaattisella koulutustasolla ja laillisten uramahdollisuuksien puutteella.
Myös kyberturvallisuuden suhteellisen heikko taso, viranomaisten tehoton toiminta ja korruptio tekevät Venäjästä koekentän uusille haittaohjelmille, joita pitkällisen kehittämisen jälkeen siirrytään käyttämään suuremmilla markkinoilla.
Venäjänkieliset haittaohjelmat ovatkin yliedustettuina kansainvälisessä verkkorikollisuudessa, ja ne leviävät maailmanlaajuisesti myös muiden hakkeriryhmien käyttöön. Samalla Venäjän maine verkkovakoilun ja kyberikollisuuden kärkimaana kasvaa entisestään.
– Venäläisistä hakkereista on tullut rynnäkkökivääri Kalashnikoviin verrattava brändi. Tätä käyttävät hyväkseen niin media, internetin väärinkäyttäjät kuin tietoturvaa tarjoavat yrityksetkin, sanoo tietoturvayhtiö Group IB:n asiantuntija Viktor Ivanovski.