1. yle.fi
  2. Yle Uutiset
  3. Ulkomaat

Venäjän verkkovakoojat ottivat kohteekseen Sanoman työntekijöiden sähköpostit

Venäjän valtiolliseen tiedusteluun kuuluvan verkkovakoojaryhmän hyökkäyksistä Suomeen on saatu uutta näyttöä. Sofacyksi tai Pawn Stormiksi kutsuttu ryhmä on yrittänyt päästä käsiksi Sanoma Oyj:n ja Ukrainan konfliktia tutkivan kansainvälisen Bellingcat-ryhmän tietoihin.

Kuva: Jyrki Lyytikkä / Yle

Japanilaisella tietoturvayrityksellä Trend Microlla on vahvaa näyttöä siitä, että suomalaisen Sanoma-konsernin työntekijöihin on kohdistunut verkkohyökkäyksen yritys.

Venäläinen verkkovakoojien ryhmä pystytti huijausmielessä palvelimen, joka jäljitteli Sanoman verkkosähköpostin palvelinta, kertoo Trend Micron vanhempi tietoturvatutkija Feike Hacquebord.

Ryhmä rekisteröi Hacquebordin mukaan verkko-osoitteen, joka eroaa vain yhden merkin verran Sanoman aidon verkkosähköpostipalvelimen osoitteesta.

Hänen mukaansa hyökkäys tapahtui todennäköisesti viime elokuussa, ja huijauspalvelin ehti toimia muutamia viikkoja ennen sen sulkemista.

Myös Sanomien teknologiajohtaja Kai Taka-Aho vahvistaa tiedot.

– Saimme huhtikuun lopulla Kyberturvallisuuskeskukselta tiedon verkkovakoilukampanjasta, jonka yksi kohteista oli Sanoma. Mukana oli myös muita tiedotusvälineitä, hän sanoo.

Faike Haquebordin mukaan tällaisella hyökkäyksellä vakoojat voivat päästä käsiksi työntekijöiden sähköposteihin sekä lähettää sähköposteja näiden nimissä. Esimerkiksi toimittajilla on usein kontakteja tärkeisiin henkilöihin, joille vakoojat voivat lähettää huijausviestejä iskun kohteeksi joutuneen työntekijän nimissä.

Sanoma reagoi heti

Taka-Aho kertoo, että Sanomalla aloitettiin välittömästi omat tutkimukset, joilla selvitettiin onko työntekijöille tullut huijaussähköposteja, kuten pyyntöjä salasanojen vaihtamisesta.

– Toistaiseksi emme ole löytäneet todisteita siitä, että hyökkääjät olisivat onnistuneet. Tutkimuksissa ei ole tullut esiin, että meille olisi edes tullut huijausviestejä. Kokonaan tätä ei kuitenkaan voida sulkea pois, hän sanoo.

Tietoturvayritykset käyttävät hyökkäyksen takana olevan verkkovakoiluryhmästä nimiä Pawn Storm, APT28, Sednit ja Sofacy. Hacquebordin mukaan ryhmä on osa Venäjän valtiollista tiedustelutoimintaa. Myös Saksan tiedustelupalvelu on vahvistanut tiedon.

Taka-Aho pitää Sanoma-konserniin kohdistettua verkkovakoilun yritystä vakavana.

– Ilmeisesti Sanoma on riittävän suuri ja kiinnostava erinäisten toimijoiden kohteeksi. Tällaisia tehdään hyvin todennäköisesti meitä ja muita suomalaisia yhtiöitä vastaan myös jatkossa, hän arvioi.

Sanoma on vaihtanut tapauksen jälkeen sähköpostijärjestelmänsä aiempaa tietoturvallisemmaksi.

– Tämä olisi toki tehty hyökkäyksestä riippumattakin, Taka-Aho tarkentaa.

Samaa huijausta käytetty usein

Verkkovakoojat näkivät vaivaa saadakseen huijauspalvelimen näyttämään aidolta.

Sähköpostipalvelimen ja käyttäjän välisen tietoliikenteen suojauksessa käytetään SSL-suojausta. Niin kutsutusta SSL-varmenteesta käyttäjä näkee olevansa yhteydessä juuri siihen nettiosoitteeseen, joka osoiterivillä lukee. Merkkinä tästä on esimerkiksi pankkipalveluista tuttu lukon kuva.

Verkkovakoojat hankkivat myös huijauspalvelimelleen SSL-varmenteen. Käyttäjä siis näki myös huijausosoitteen vieressä lukon kuvan.

Hollannissa sijainnutta huijauspalvelinta piti yllä pahamaineinen palveluntarjoaja, joka on pitänyt yllä myös suurta osaa verkkovakoiluryhmä Pawn Stormin käyttämästä infrastruktuurista, Hacquebord kertoo.

Tutkijan mukaan ryhmä on hyökännyt useita tiedotusvälineitä vastaan eri puolilla maailmaa. Onkin hyvin todennäköistä, että ryhmä on pyrkinyt pääsemään käsiksi toimittajien tietoihin.

Esimerkiksi Yhdysvalloissa kohteena oli toimittaja, joka on ollut yhteistyössä asevoimien kanssa.

Pawn Storm on käyttänyt monissa hyökkäyksissään yrityksen verkkosähköpostipalvelinta jäljitteleviä palvelimia.

Hiljattain he tekivät samankaltaisen hyökkäyksen Angela Merkelin puoluetta CDU:ta vastaan Saksassa. Huijauspalvelin oli pantu pystyyn myös Tanskan puolustusvoimiin kohdistunutta hyökkäystä varten.

Hyökkäyksiä myös Venäjän sisällä

Trend Micron mukaan hakkeriryhmä hyökkää kohteisiin, jotka ovat vastustaneet Venäjän politiikkaa.

Hacquebord kertoo yrityksen selvittäneen, voisiko jokin muu maa kuin Venäjä olla hyökkäysten takana. Tämän vuoksi yritys on tutkinut, millaisia hyökkäyksiä ryhmä on toteuttanut Venäjän sisällä.

Hakkeriryhmä oli ottanut kohteekseen oppositioryhmien lisäksi myös Putinille myötämielisiä tiedotusvälineitä, ja Venäjän sotilasattasean Natossa.

Jopa kuuluisa entinen pääministeri oli kohde sekä eräs duuman jäsen, joka ei ole Putinin vastustaja. Nämä löydökset eivät kuitenkaan osoita muuhun toimijaan kuin Venäjään, vaan kertovat Venäjän sisäisestä vakoilusta, sanoo tutkija.

Toinen hyökkäyksen tai hyökkäysyrityksen kohde on Ukrainan konfliktia tutkivan kansainvälisen Bellingcat-ryhmän suomalaisjäsen. Pawn Storm pyrki pääsemään käsiksi hänen tietoihinsa lähettämällä hänelle räätälöidyn huijaussähköpostin.

Lisää aiheesta illan A-Studiossa kello 21.