Motiivina hillitön pätemisen ja rahan tarve – Näin teinihakkerit kaatoivat OP:n verkkopankin

Verkkohyökkäys kaatoi uutenavuotena 2015 OP:n verkkopankin. Teosta epäillyt nuoret rehentelivät teollaan. Nyt he odottavat oikeudenkäyntiä.

tietoturva
lahtokuva

Moni OP-ryhmän asiakas joutui miettimään uudenvuoden suunnitelmansa uusiksi vuonna 2014. Vuoden 2014 viimeisenä päivänä he eivät saaneet automaatista rahaa.

Vuodenvaihteessa erääntyvien laskujen maksaminen ei onnistunut, sillä verkkopankki oli kaatunut. Häiriöitä oli myös Nordean verkkopankissa ja Aktian nettisivuilla. Lisäksi Danske Bank huomasi hyökkäyksen järjestelmissään, mutta se ei pankin mukaan näkynyt asiakkaille.

Aattona ja seuraavina päivinä nimimerkki @CoreSecRUS julkaisi Twitterissä pankeille uhkavaatimuksia.

kuva1

Vaikutti siltä, että hyökkääjä haki julkisuutta teoilleen. Twitter-viesteissään CoreSec-nimeä käyttänyt ryhmä antoi ymmärtää iskeneensä pankkien lisäksi myös poliisin verkkosivuille, ja osoitti asiaa koskevat viestinsä isoille tiedotusvälineille.

Palvelunestohyökkäys on kuin keinotekoinen jono. Hyökkääjä pommittaa palvelua suurella määrällä palvelupyyntöjä, jolloin verkkopankin asiakkaan edellä voi olla miljoonien virtuaalisten asiakkaiden jono. Siksi palvelu ei toimi.

OP hälytti tietojärjestelmistä vastaavan väen lomiltaan töihin. OP ja Nordea ottivat myös välittömästi yhteyttä keskusrikospoliisiin ja Kyberturvallisuuskeskukseen. Hyökkäyksen vastatoimet alkoivat heti.

Jo edellisvuonna – syksyllä 2013 – nimimerkkiä CoreSec-käyttänyt ryhmä oli iskenyt samankaltaisella hyökkäyksellä MTV3:n Katsomo-palveluun.

kuva2

Vielä tuolloin viranomaiset eivät osanneet yhdistää CoreSec-nimeä kahteen nuoreen suomalaismieheen. Twitter-tilillään he käyttivät itsestään nimiä Venom ja Comrade, toisella nettifoorumilla taas nimiä John ja Stacks.

Ammattirikollisten roolia nuoret miehet olivat yrittäneet omia jo joulukuussa 2013 julkaisemalla “Suomen hallitukselle” osoitetun uhkauksen.

kuva3

Tekeytyminen ammattirikolliseksi ei sekään ole ainutlaatuinen idea. B-luokan rosvot ovat viime vuosina lähettäneet aidosti vaarallisten Armada collective- ja ddos4bc-ryhmien nimissä lukuisia lunnasvaatimuksia – ja myös onnistuneet hankkimaan rahaa.

Mutta olisiko venäläisten ammattirikollisten lunnasvaatimus Suomen suurimman pankin palveluiden kaatamisesta ollut vain 30 000 euroa?

Hyökkäyksestä pahiten kärsinyt OP ei maksanut lunnaita. Se ei edes keskustellut hyökkääjien kanssa. Myöskään Aktia ja Nordea eivät vastanneet hyökkääjien viesteihin.

OP-ryhmän tietoturvaväki urakoi pitkää päivää. Pankki joutui katkaisemaan tietoliikenteen tietyistä maista kokonaan estääkseen hakkereiden masinoiman dataliikenteen.

Hyökkääjät eivät silti luovuttaneet.

Palvelunestohyökkäys jatkui loppiaiseen asti ennen kuin se saatiin kuriin. CoreSec myös lähetti OP-ryhmälle useita erilaisin uhkauksin ryyditettyjä lunnasvaatimuksia. Eräässä viestissä kiitettiin Nordeaa pikaisesta maksusta ja kehotetaan OP:ta tekemään samoin. Nordea korostaa, että kyseinen viesti oli huijausta.

Hyökkäyksistä jää kuitenkin aina jälkiä. Niin nytkin.

Hyökkäystä seuraavien kuukausien aikana poliisin ja pankin asiantuntijat keräsivät tietoverkoista tietoja ryhmän toiminnasta ja viestinnästä. Epäillyt hyökkääjät yrittivät peittää jälkiään, mutta tekivät myös virheitä.

kuva4

Pankin tietoturva-ammattilaiset keräsivät tietoja hyökkäyksestä pankin järjestelmiin jääneiden jälkien avulla. Poliisi puolestaan pystyi hankkimaan virka-apupyyntöjen avulla tietoja Suomesta ja ulkomailta.

Keskusrikospoliisille oli suurta apua yhdysvaltalaisista nettipalveluiden tarjoajista, jotka luovuttivat keskusrikospoliisin tarvitsemia tietoja epäiltyjen toiminnasta tietoverkoissa. Työ oli kuin palapelin rakentamista.

Pankissa alkoi myös huolellinen työ suojauksien parantamiseksi. Seuraavana kesänä pankkiin kohdistui monin verroin uudenvuoden hyökkäystä raskaampi palvelunestohyökkäyksen yritys, mutta se ei aiheuttanut haittaa asiakkaille.

Pankin ja poliisin yhteistyön tuloksena palapelin palat alkoivat loksahdella kohdalleen.

asekuva

Maaliskuun 20. päivänä nuoret miehet olivat jo uskaltautuneet ravintolan terassille viileästä säästä huolimatta. Juomat jäivät kesken, kun poliisi pidätti heidät eteläsuomalaisen ravintolan terassilta. He eivät tehneet vastarintaa, kun ryhmä poliiseja otti heidät kiinni.

Miehiä pidettiin tutkintavankeudessa reilut pari viikkoa.

kuva6

Tutkintavankeuden aikaisissa kuulusteluissa miehet olivat vaitonaisia. Vapautumisen jälkeen he kuitenkin hakeutuivat julkisuuteen. Sosiaalisessa mediassa he kertoivat avoimesti oman versionsa tapahtumista, vieläpä omilla kasvoillaan.

Miehet julkaisivat Twitterissä kuvan pidätysmääräyksestään.

Miesten pidätysmääräyksessä kerrottiin heitä epäiltävän todennäköisin syin useista rikoksista.

Keskusrikospoliisin arvion mukaan hyökkäyksen motiivi rahan tarpeen ohella oli hankkia CoreSec-ryhmälle mainetta alamaailmassa, ja päästä näin mukaan aiempaa isompiin rikoshankkeisiin.

kuva7

Miehet kertoivat tulevansa vain nauramaan oikeudenkäynnille ja tapausta tutkineelle keskusrikospoliisille. Poliisista ja ylipäänsä viranomaisista miehet käyttivät nimeä siat.

He rehentelivät hankkimillaan luksusvaatteilla, kannabiksella ja alkoholilla.

kuva8

Miesten tietokoneet jäivät poliisin takavarikkoon, mutta vapauduttuaan huhtikuussa 2015 he hankkivat pian uudet.

Kaikkein tarkimmin tekemisistään miehet kertovat Pastebin.com-palvelussa julkaisemassaan monisivuisessa tekstissä pian tutkintavankeudesta vapautumisensa jälkeen huhtikuussa 2015.

kuva9

Kirjoituksessa he kertoivat tehneensä kiristysyrityksen lisäksi luottokorttipetoksia. Kertomansa mukaan heillä oli pääsy tuhansien ihmisten luottokortti- ja verkkopankkitietoihin. Petoksilla he kertoivat hankkineensa suuret määrät “ilmaista tavaraa”.

kuva10

Tästäkin kirjoituksesta he lähettivät vinkkejä tiedotusvälineille.

Jo ennen kiristysyrityksiä, syyskuussa 2014, CoreSecin nimimerkit John ja Stacks olivat esitelleet omaisuuttaan eräällä netin keskustelufoorumilla. He myös tarjosivat hankkimiaan tavaroita myytäväksi bitcoineja vastaan.

massikuva

Toiko epäillyillä petoksilla hankittu raha onnea?

Kuulemma ei.

– Mä kerron teille ihmiset, että todellinen onni ei ole rahassa. Hallitus on vain vääntänyt ihmisten käsityksen rahasta ihan vituiksi. Minä ja John tiedetään, miltä tuntuu kun saa kaiken haluamansa tekemättä juurikaan töitä, Stacks kirjoittaa Pastebin-palvelussa julkaisemassaan pitkässä tekstissä.

Toinen ristiriitaisuus liittyy epäillyn teon motiiviin. Toisaalta miesten epäillään yrittäneen kiristää rahaa, mutta toisaalta he haluavat ottaa kunniaa tietoturva-aukon paljastamisesta.

– Rankaisemisen ja tavallisen elämän edellytysten pilaamisen sijasta minut pitäisi palkita haavoittuvuuden paljastamisesta, Stacks jatkaa.

John ja Stacks perustivat tilin nettipalvelu Ask.fm:ään, jossa ihmiset saivat kysyä heidän tekemisistään. Kysymykset vaihtelivat korujen käytöstä epäiltyjen rikosten yksityiskohtiin.

Eräs kysyjä huomautti Stacksin ladanneen nettiin videon, jossa kuvataan, kuinka yhdysvaltalaiseen pankkiin voi perustaa väärillä tiedoilla tilin ja nostaa rahaa. Video oli ilmestynyt nettiin vasta kiinnijäämisen jälkeen.

ask.fm

Sivuille näyttää ottaneen yhteyttä tekijät tunteva henkilö, joka kiittää Stacksiä siitä, että tämä ei ole kertonut poliisille tietoja hänestä. Stacks vastaa mieluummin istuvansa vankilassa kuin kertovansa tietoja “kumppanistaan”.

Pari viikkoa kestäneen tutkintavankeutensa jälkeen julkaisemissaan nettikirjoituksissa miehet myöntävät rikkoneensa lakia mutta sanovat lopettaneensa rikollisen toiminnan. Ask.fm-tilillä eräs kysyjä halusi tietää, miksi epäillyt eivät halua korvata aiheuttamiaan vahinkoja.

ask.fm 2

Toisessa viestissä Stacks kuvaa sitä, kuinka virtuaalivaluutta bitcoinia voi käyttää varallisuuden piilottamiseen velkomistilanteessa.

Pankki esittää todennäköisesti korvausvaatimuksia.

OP-ryhmän turvallisuuspäällikkö Elias Alanko ei halua kommentoida keskeneräistä juttua, mutta kertoo, että aiemmissa pankkiin ja sen asiakkaisiin kohdistuneissa verkkorikoksissa pankki on esittänyt korvausvaatimuksia. Ne ovat perustuneet tapauksen hoitamiseen kuluneisiin työtunteihin.

Alanko tyrmää täysin miesten väitteet siitä, että hyökkäys oli itse asiassa ansiokas, sillä se paljasti vakavan tietoturva-aukon pankin järjestelmissä.

Elias Alanko
Elias Alanko, turvallisuuspäällikkö, OP-ryhmä

– Eettiseen hakkerointiin eivät kuulu lunnasvaatimukset, kiristysyritykset tai haitan aiheuttaminen asiakkaille, hän jyrähtää.

Aitoa eettistä hakkerointia on Alangon mukaan toiminta, jossa tietoturvaongelman havainnut henkilö raportoi huomaamansa ongelman suoraan yritykselle tai Kyberturvallisuuskeskukselle, mutta ei anna tai myy tietoa ongelmasta ulkopuolisille.

Joka tapauksessa voi käydä niin, että korvausvaatimukset ovat tekijöille – jos heidät todetaan syyllisiksi – kovempi paikka kuin vapauden menetys. Rikollisten kiinni saaminen työllisti pankin asiantuntijoita ja asiakkaille koitui haittaa useaksi päiväksi.

Vertailukohtaa voidaan hakea tapauksesta lähes 20 vuoden takaa.

Tuolloin TCB-nimellä esiintynyt parikymppinen mies tunkeutui 120 tietojärjestelmään. Hän sai teoistaan vuonna 2001 viiden kuukauden ehdollisen tuomion ja maksettavakseen korvauksia 450 000 silloisen markan eli nykyrahassa noin 93 000 euron arvosta.

Pankkeihin uudenvuodenaattona 2014 kohdistuneesta hyökkäyksestä epäiltyjen miesten oikeudenkäynnin odotetaan alkavan tänä vuonna. OP:n ohella lunnasvaatimuksia saaneet Aktia, Danske Bank ja Nordea ovat tehneet hyökkäyksestä rikosilmoituksen.

Vielä ei tiedetä, mistä jutun syyttäjä heitä syyttää. Johtava kihlakunnansyyttäjä Heikki Poukka Helsingin syyttäjänvirastosta kertoo, että juttu on viipynyt tapauksen monimutkaisuuden ja sen vaatimien lisätutkintojen vuoksi.

– Venymien johtuu myös siitä, että samaan [pankkihyökkäyksiä koskevaan] tutkintaan liittyy muitakin rikoksia, jotka ovat tulleet ilmi, Poukka sanoo.

Miesten kiinniotosta on kulunut jo 19 kuukautta. Poukka sanoo, että tämä on liian pitkään.

– Näin nuorten kohdalla pitää ehdottomasti saada rikosvastuu syntymään nopeammin. Heidän osaltaan olisi tärkeää, että he saisivat seuraamuksen kärsittyä ja pääsisivät jatkamaan elämäänsä.

Jutun kuvitus on peräisin CoreSecin, Johnin ja Stacksin julkaisemista netissä julkaisemista teksteistä ja kuvista. Tekstejä on osin lyhennetty ja suomennettu ja kuvia käsitelty. Juttua varten on lisäksi haastateltu Kyberturvallisuuskeskuksen tilannekeskuksen päällikköä Antti Kiurua. A-studio käsittelee verkkorikollisuutta maanantaina TV 1:ssä kello 21.05.