Viaton klikkaus sähköpostissa – Näin Venäjän verkkovakoojat iskivät ulkoministeriöön

Saat sähköpostin kaverilta, klikkaat sen linkkiä. Samassa tietosi ovat vieraan valtion verkkovakoojan käytössä – jos satut olemaan töissä Suomen ulkoministeriössä. Yle paljastaa nyt ensimmäistä kertaa, miten kohuttu hyökkäys vuonna 2012 tapahtui ja millainen venäläinen verkkovakoojien ryhmä toteutti iskun.

Ulkomaat
Näin venäjä vakoilee
Eetu Pietarinen /Yle Uutisgrafiikka.

Verkkovakoilun ensimmäinen askel alkaa usein ilman, että ensimmäistäkään suojausta tarvitsee murtaa.

Kun vaikkapa ulkoasiainhallinnon virkamies tai puolustusalan yrityksen työntekijä käyttää sosiaalista mediaa, hän jättää jälkiä siitä, millaisten asioiden parissa hän työskentelee ja keneen hän pitää yhteyttä. Näin on alkanut myös Suomen ulkoministeriöön sekä lukuisiin muihin valtiollisiin kohteisiin ulottunut hyökkäysten sarja.

Vakoilijoille on olennaista selvittää, kuka on tekemisissä kenenkin kanssa. Näin he pystyvät arvioimaan, kenen nimissä työntekijälle voi lähettää väärennetyn sähköpostin tai linkkivinkin.

Tämä on vasta alkua huolella salatussa vakoiluoperaatiossa.

Linkin avaaminen käynnistää haittaohjelman, mutta tämä on vasta alkua monimutkaisessa ja huolella salatussa vakoiluoperaatiossa.

Suomessa suurvaltojen verkkovakoiluun herättiin toden teolla vuonna 2013, kun ulkoministeriössä tapahtunut verkkourkinta tuli julkisuuteen. Jo pian hyökkäyksen paljastumisen jälkeen esitettiin spekulaatioita mahdollisesta tekijästä, mutta tutkintaa johtanut suojelupoliisi on vaiennut yksityiskohdista. Yle paljastaa nyt, miten hyökkäys eteni ja millainen verkkovakoiluryhmä toteutti iskun. Jäljet johtavat Venäjälle.

Yle haastatteli aiheesta tiedustelu- ja asiantuntijalähteitä Suomessa ja muualla Euroopassa. Kukaan Ylen lähestymistä asiantuntijoista ei kieltäytynyt haastattelusta, mutta osa heistä joutui puhumaan asemansa vuoksi nimettöminä.

Venäjän parhaat aivot valjastettu verkkovakoiluun

Venäjältä ei ole toistaiseksi astunut julkisuuteen Edward Snowdenin kaltaista, Yhdysvaltain tiedustelun yksityiskohtia paljastanutta vuotajaa. Siksi arviot Venäjän harjoittamasta vakoilusta perustuvat tietoturvayritysten ja viranomaisten keräämiin havaintoihin eri ryhmien tekemistä verkko-operaatioista.

Vasta parin viime vuoden aikana tietoturvayritykset ovat julkaisseet suuren määrän raportteja, joissa kuvataan vakoilun yksityiskohtia kuten satelliittilinkkien käyttöä vakoilun jälkien peittämiseen. Venäjää pidetään Yhdysvaltain ja Kiinan ohella yhtenä verkkovakoilun suurvalloista.

Kyse on hakkereiden, tietomurtoja tekevien mustahattujen ja niitä selvittävien valkohattujen välisestä taistelusta.

Kärkimaat ovat vakoilussaan omavaraisia. Niiden laskuun toimivien hakkerien ei tarvitse ostaa osaamistaan ulkopuolelta, vaan ryhmät pystyvät kehittämään jatkuvasti uusia hyökkäystyökaluja ja taktiikoita, kun vanhat eivät enää toimi tai paljastuvat.

Näin on myös Venäjällä. Osa maan parhaista aivoista on valjastettu maailman kehittyneimpien hyökkäys- ja puolustustyökalujen kehittämiseen. Ylen haastattelemat asiantuntija- ja tiedustelulähteet korostavat kunnioittavansa ja arvostavansa maan osaamista, joka tietyillä osa-alueilla on maailman parasta.

Valkohatut jahtaavat verkkovakoojien jälkiä

- Vielä viitisen vuotta sitten verkkovakoiluoperaatioita tuli esille vain muutamia vuodessa, nykyään operaatioita tulee vastaan kymmeniä vuodessa, kuvaa muutosta venäläisen tietoturvayhtiön Kasperskyn Stefan Tanase.

Hänen tutkimusryhmänsä on erikoistunut Suomen ulkoministeriöön tehdyn verkkoiskun kaltaisten hyökkäysten tutkintaan. Hänen kaltaisiaan ammattilaisia kutsutaan valkohatuiksi.

Verkkovakoilussa ovat vastakkain vakoilijat ja tiedustelupalvelujen vastavakoilijat. Ratkaisevan tärkeässä roolissa ovat Kasperskyn ja suomalaisen F-Securen kaltaisten yritysten ja eri maiden kyberturvallisuuskeskusten, “certtien” tietoturvatutkijat.

Kyse on siis hakkereiden, tietomurtoja tekevien mustahattujen ja niitä selvittävien valkohattujen välisestä taistelusta.

Valkohatut kutsuvat mustahattujen hyökkäyssarjoja kampanjoiksi. Kun he saavat selvitettyä, miten tietty kampanja toimii ja julkaisevat tulokset raportissaan, he saavat nimetä hyökkäyskampanjan mielensä mukaan kuin uuden eliölajin löytäjät.

Joskus eri tietoturvayritykset antavat samalla kampanjalle eri nimiä, joten alan ulkopuolisen on vaikea pysyä kärryillä siitä, mistä hyökkäyssarjasta milloinkin on kyse.

Yksi harvoista suurvaltojen verkkovakoiluun perehtyneistä suomalaisista valkohatuista on F-Securen tietoturvatutkija Artturi Lehtiö.

Kuka hyökkäsi Suomen ulkoministeriöön?

Artturi Lehtiö erottaa Venäjältä kolme merkittävää verkkovakoiluryhmää, joille tietoturvatutkijat ovat antaneet nimet Dukes, Sofacy ja Turla. Ne ovat pystyneet tehtailemaan iskuja pitkäjänteisesti ja ilmeisimmin vakaan rahoituksen turvin.

– Ryhmät tekee merkittäväksi pitkä toimintahistoria, – noin kymmenen vuotta tai yli – ja se, että ne ovat onnistuneet tunkeutumaan toistuvasti merkittäviin valtiollisiin kohteisiin, sanoo Lehtiö.

Artturi Lehtiö
Artturi LehtiöSasha Silvala / Yle

Tietoturvatutkija perustaa arvionsa suureen määrään eri tietoturvayritysten tutkimuksia.

Teknisiltä taidoiltaan parhaana hän pitää Turla-ryhmittymää. Saman arvion tekee venäläisen tietoturvayhtiön Kasperskyn vanhempi tietoturvatutkija Stefan Tanase. Kaspersky on tehnyt merkittävimmät ryhmää koskevat paljastukset.

– Turla on yksi maailman kehittyneimmistä verkkovakoiluryhmistä. Se toimii globaalisti iskien valtiollisiin ja sotilaskohteisiin, Tanase tiivistää.

Turlan kohteita ovat siis nimenomaan tärkeät valtiolliset kohteet. Myös Suomen ulkoministeriöön hyökättiin nimenomaan Turlan metodein.

On selvää, mistä Turla tulee ja saa rahoituksensa.

Tanasen mukaan on selvää, mistä Turla tulee ja saa rahoituksensa.

– Uskomme, että Turla on kansallisvaltion rahoittama hyökkääjä. Olemme havainneet tutkimissamme haittaohjelmissa ja palvelimissa jälkiä, jotka osoittavat että tekijät ovat venäjänkielisiä.

Tanasen mukaan ryhmällä näyttää olevan käytössään myös erittäin suuret resurssit.

– Tämä pätee muihinkin valtiollisiin toimijoihin. Budjetti on rajaton, Tanase sanoo.

Turla-nimi tulee nimenomaan ryhmän toiminnan paljastaneilta valkohatuilta – kukaan ei tiedä, mitä nimeä he itse käyttävät.

Lehtiö tuntee parhaiten tutkimansa Dukes-ryhmän hyökkäyshistoriaa. Ryhmä näyttää toisaalta vakoilleen Nato-maiden ulko- ja puolustusministeriöitä, mutta toisaalta tarkkailleen samoilla hyökkäystyökaluilla myös venäläisiä huumerikollisia.

Dukes-ryhmän iskut näyttävät loppuneen sen jälkeen, kun Lehtiö kumppaneineen julkaisi sen toimintaa valottaneen raportin The Dukes: 7 Years of Russian cyberespionage. Hän ei kuitenkaan tuuleta voittoa mustahatuista.

– Aika näyttää, johtuuko havaintojen puuttuminen siitä, että ryhmä on muuttanut taktiikoitaan, vai ovatko he todella joutuneet hiljentämään toimintaansa hetkeksi, hän pohtii.

Kohteina Ukrainassa pudotetun koneen tutkijat, Nato ja Pussy Riot

Sen sijaan kaksi muuta ryhmää, Sofacy ja Turla ovat jatkaneet toimintaansa aktiivisesti myös kuluneena syksynä. Sofacyn kohteita ovat viime vuosina olleet muun muassa Nato, Valkoinen talo ja Saksan parlamentti. Iskuja on kuvattu erityisesti Yhdysvaltalaisen Trend Micron raporteissa, joka käyttää Sofacystä nimeä PawnStorm.

Pelastushenkilöstö kantoi MH17-koneen osia Grabovon kylän lähellä Ukrainassa 18. marraskuuta 2014.
Verkkovakoiluryhmä Sofacy on iskenyt myös Ukrainassa alasammuttua MH-17-lentoa tutkineen hollantilaisen tutkijaryhmän koneille. Muutenkin monilla ryhmän iskuilla näyttää olevan yhteys Ukrainan kriisiin.AlexanderR Ermochenko / EPA

Yrityksen mukaan hyökkäyksiä on tehty myös moniin muihin sotilaskohteisiin, ministeriöihin, tutkimuslaitoksiin, tiedotusvälineisiin ja energiasektorin yrityksiin erityisesti Ukrainassa ja Yhdysvalloissa. Ryhmän työkaluja on käytetty myös Venäjän sisällä. Kohteita ovat olleet muun muassa oppositiopoliitikot, Novaja Gazetan ja The New York Timesin toimittajat sekä kaksi Pussy Riot –yhtyeen jäsentä.

Ryhmä on iskenyt myös Ukrainassa alasammuttua MH-17-lentoa tutkineen hollantilaisen tutkijaryhmän koneille. Muutenkin monilla ryhmän iskuilla näyttää olevan yhteys Ukrainan kriisiin.

– Dukes näyttää kiinnostuneen Ukrainasta ennen kuin Maidanin aukion mielenosoitukset edes pääsivät vauhtiin, mutta Sofacy on ollut kiinnostunut Ukrainasta koko kriisin ajan, sanoo Artturi Lehtiö.

Vaikka hakkeriryhmien toiminnasta voidaan päätellä paljon kohteiden valinnan ja hyökkäysten yksityiskohtien avulla, jää epäselväksi, miten ryhmät saavat käskynsä.

Ylen haastattelemat tiedustelu- ja asiantuntijalähteet arvioivat, että todennäköisesti ryhmät toimivat tiedusteluorganisaatioiden alaisuudessa tai alihankkijoina.

Huipputason vakoiluohjelmistojen kehittäminen vaatii pitkälle vietyjä erikoistaitoja. Ohjelmistokehitystä tekeekin nähtävästi verraten pieni joukko huippuosaajia, mutta ohjelmistoja käyttää huomattavasti suurempi operaattoreiden joukko.

”Koko Länsi-Eurooppa on korkattu”

Jos Venäjällä jaettaisiin hakkeroinnin mestaruuksia, olisivat finaalissa vastakkain todennäköisesti Sofacy ja Turla, joista jälkimmäinen veisi voiton innovatiivisuutensa ansiosta.

Kasperskyn mukaan ryhmä on iskenyt satoihin kohteisiin lähes 50 eri maassa.

Turlan resursseista ja taidoista kertoo myös se, että ryhmä on pystynyt räätälöimään edistyksellisiä haittaohjelmia toimimaan erilaisissa kohteissa ja käyttöjärjestelmissä kuten Linuxissa. Lisäksi se on kehittänyt tekniikoita, joiden avulla se pystyy iskemään sellaisiinkin tietokoneisiin, jotka eivät ole kiinni internetissä.

Ulkoministeriön tietoturvajohtaja Ari Uusikartano.
Ulkoministeriön tietoturvajohtaja Ari Uusikartano.Sassa Silvala / Yle

Kaikki ryhmät ovat onnistuneet iskuissaan merkittäviin kohteisiin, mutta ryhmillä on myös eroja.

Turlan tiedetään kehittäneen toimintatapoja, joita muut eivät käytä. Se on esimerkiksi käyttänyt satelliitteja varastamansa tiedon välittämiseen vakoilijoille. Eri ryhmien iskut jättävät ikään kuin erilaiset sormenjäljet.

Suomen ulkoministeriöön tehdyn iskun jäljet näyttävät johtavan juuri Turlan käyttämiin taktiikoihin.

Suomen ulkoministeriöön tehdystä iskusta jääneet jäljet näyttävät johtavan juuri Turlan käyttämiin ohjelmistoihin ja hyökkäystaktiikoihin. Ylen haastattelemat lähteet vahvistavat yhteyden.

Myös Helsingin Sanomat kertoi vuonna 2013, että Ulkoministeriön hyökkäyksessä käytetty haittaohjelma oli nimeltään Uroburos. Kyseinen haittaohjelma yhdistetään nimenomaan Turlaan.

Miksi juuri Suomi?

Stefan Tanase arvioi, että Suomi on Turlan kiinnostuksen kohde geopoliittisen asemansa takia.

– Vaikka julkaisemissamme tilastoissa ei näy Suomea, tämä ei tarkoita, etteikö Turla olisi iskenyt myös sinne. Koska Suomi on eurooppalainen maa, olen varma että Suomi on Turlan maalilistalla.

Ulkoministeriön verkossa oli tai sinne pyrki muitakin toimijoita kuin Turla.

Ylen saamien tietojen mukaan ulkoministeriön verkossa oli tai sinne pyrki muitakin toimijoita kuin Turla. Ryhmän kehittyneen hyökkäyksen jäljille päästiin, kun ulkoministeriössä kiinnitettiin huomiota muihin hyökkäyksiin tai niiden yrityksiin.

Ulkoministeriön tietohallintojohtaja Ari Uusikartano kertoo, että juuri tiettyjen hyökkäysohjelmien jälkien tunnistaminen oli avain tutkinnan saamiseksi vauhtiin.

– Hyökkäystyökalujen tyypillisistä piirteistä saatiin havaintoja heti, kun tiedettiin, mitä etsiä. Näin kyettiin tutkimaan, onko muita vastaavia hyökkäyksiä ja onko työkaluissa tapahtunut jonkinlaista kehitystä, hän kuvaa selvitystyötä ulkoministeriössä.

Uusikartano korostaa myös, että vaikka hyökkäys oli räätälöity, se ei ollut yksittäistapaus vaan osa laajaa iskujen sarjaa.

– Muita vastaavia on ollut, ja näistä tapauksista on ollut meille hyötyä asian ratkaisussa. Joku tietoturva-ammattilainen totesi, että koko Länsi-Eurooppa on korkattu, joten voisi sanoa että kohtuullisen laajasta hyökkäyssarjasta on kysymys, hän toteaa.

Koska Turlan tekemistä hyökkäyksistä on kertynyt viimeisen vuoden aikanakin merkittävästi lisää tietoa, voidaan ryhmälle tyypillisen hyökkäyksen kulku mallintaa:

Näin Venäjä vakoilee
Vuonna 2013 Suomen ulkoministeriön tietokoneisiin murtauduttiin. Yle selvitti nyt, että hyökkääjä oli yksi maailman taitavimmista verkkovakoojaryhmistä, venäläinen Turla. Tietoturvayhtiöiden mukaan Turlan rahoittaja ei voi olla mikään muu kuin Venäjän valtio.

Synninpäästö virkamiehille: Ette surffanneet väärin

Stefan Tanase korostaa, että Turla tekee hyökkäyksensä käsityönä. Vakoiluohjelmat eivät toimi automaattisesti, vaan niitä käyttävät ihmiset antavat tarkoin harkitut käskyt ohjelman leviämisestä tai tietojen varastamisesta.

– Tämäkin kertoo siitä, kuinka hienostunutta ryhmän toiminta on. Voidaan vain kuvitella kuinka paljon väkeä tarvitaan käymään läpi kaikki data, kun uhreja on satoja tai jopa tuhansia, hän sanoo.

Ministeriö on tutkinut tarkkaan hyökkäyksen kulkua ja pystyy nyt entistä paremmin suojautumaan kohdistetuilta hyökkäyksiltä. Hyökkääjät olivat räätälöineet hyökkäyksensä taitavasti ja peittäneet sen jäljet huolella. Ulkoministeriön virkamiehiä ei voi syyttää tapahtuneesta.

– Olen lähinnä lohduttanut heitä: ei ole surffattu väärin, eikä ole toimittu väärin. On mahdoton tilanne, kun kyse on räätälöidyistä työkaluista.

Liiallista valtion tietojärjestelmien yhdenmukaistamista hän pitää suorastaan vaarallisena.

Uusikartano katsoo myös, että hyökkäyksestä tulisi ottaa oppia, kun valtionhallinto muotoilee tulevia it-ratkaisujaan. Erityisesti liiallista valtion tietojärjestelmien yhdenmukaistamista hän pitää tietoturvan kannalta suorastaan vaarallisena.

– Hyökkäystyökalun rakentaminen on aina investointi. Jos samalla työkalulla pääsee sitten sisään moneen paikkaan, se on huono asia. Niissä maissa, joissa yhdenmukaistaminen on viety pitkälle, on tunkeutujista ollut vaikeata tai mahdotonta päästä eroon. Tähän emme halua Suomessa joutua.

_Lisää aiheesta A-studiossa tänään keskiviikkona _YLE TV1:ssa klo 21.05.