Kyberhyökkääjä käyttää satelliitteja
Yhdysvaltain demokraattiseen puolueeseen kohdistunut tietomurto toi kesällä uusia jännitteitä Yhdysvaltain ja Venäjän välisiin suhteisiin. Puolueen palkkaama CrowdStrike-yritys jäljitti tietomurron venäläisiin hakkeriryhmiin, joilla on läheiset suhteet Kremliin. Venäjä on kiistänyt tiedot.
Valtiolle työskentelevien hakkereiden rutiineihin kuuluu vaikeuttaa jäljittämistä noukkimalla hyökkäykseen tarvitsemansa tiedot tavallisten internetin käyttäjien palvelimien kautta. Kaapeliverkoissa tekijät kuitenkin tunnistetaan ennemmin tai myöhemmin.
Venäläinen Turla-hakkeriryhmä on löytänyt ratkaisun ongelmaan kierrättämällä tietoa satelliittilinkkien kautta tavallisten kaapelien sijaan. Ryhmä pääsee toisen käyttäjän tietokoneelle esimerkiksi lähettämällä sähköpostia vastaanottajalle tutusta osoitteesta. Kun kohde klikkaa viestissä olevaa linkkiä, hakkerit alkavat kerätä dataa.
Tieto kulkee radioaaltoina satelliitin kautta hakkerien lautasantenneihin. He sieppaavat signaalin helposti lautasantennilla, koska satelliiteissa tietoliikenne ei ole salattua. Turla hyödyntää erityisesti palveluntarjoajia Afrikassa ja Lähi-idässä.
Satelliittiyhteyksien kaappaamiseen riittää antenni, kaapelit ja satelliittimodeemi, jotka saa hankittua 900 eurolla.
Tällä menetelmällä Turla on vuodesta 2007 lähtien vakoillut valtionlaitoksia, suurlähetystöjä ja sotilaskohteita ainakin 40 maassa paljasti venäläinen tietoturvayritys Kaspersky viime syksynä. Menetelmää käytettiin muun muassa Suomen ulkoministeriöön kohdistuneessa vakoilussa, jonka tekijä oli Kasperskyn mukaan Turla.
Menetelmä on esimerkki kyvykkään toimijan kekseliäisyydestä, sanoo Aalto-yliopiston kyberturvallisuuden professori ja Insta Group -yritystä edustava Jarno Limnéll.
»Vastaavia esimerkkejä jäljittämisen vaikeuttamisesta voi ajatella lähes mistä tahansa viestintälaitteista. Kysymys kuuluu, mitä kaikkia keinoja on jo käytössä, joista emme yksinkertaisesti tiedä», Limnéll toteaa.
Venäjän kyberhyökkäykset ovat suurin uhka Yhdysvaltojen turvallisuudelle, totesi maan tiedustelutoiminnan johtaja James Clapper viime keväänä. Kansallisen turvallisuusviraston NSA:n johtaja, amiraali Michael Rogers puolestaan kuvailee venäläisiä hakkereita nopeiksi ja tarkoiksi. Heidän toimintansa on ennen kaikkea salaista.
Venäjän verkkovakoilun päätarkoituksena on hankkia tietoa poliittisen ja sotilaallisen päätöksenteon tueksi.
Lausunnot eivät ole sattumaa, sanoo Limnéll. Venäjä on yksi kyberteknologian hyödyntämisen edelläkävijöistä modernissa sodankäynnissä. Vaikka muilla mailla on vastaavia kykyjä, Venäjä on aktiivisesti myös käyttänyt palvelunestohyökkäyksiä ja pitkälle kehitettyjä haittaohjelmia. Kokemus tekee siitä yhä vahvemman toimijan.
»Mitä enemmän Venäjä kehittää osaamistaan tällä saralla, sitä aggressiivisemmaksi ja itsevarmemmaksi se näyttää muuttuvan», Limnéll toteaa.
Venäjän verkkovakoilun päätarkoituksena on hankkia tietoa poliittisen ja sotilaallisen päätöksenteon tueksi.
Venäjän luokittelu suurimmaksi kyberuhkaksi on uutta, sillä Yhdysvalloissa on vuosia puhuttu enimmäkseen Kiinan kyberuhkasta. Kiina on harjoittanut niin laajaa teollisuusvakoilua, että NSA:n entinen johtaja, kenraali Keith Alexanderon kutsunut sitä Yhdysvaltojen historian suurimmaksi taloudelliseksi vuodoksi.
Toisin kuin Kiina, Venäjä ei Limnéllin mukaan tavoittele kybervakoilullaan ensisijaisesti taloudellista vaan poliittista hyötyä. Venäjän vakoilun päätarkoituksena on hankkia poliittista ja sotilaallista päätöksentekoa hyödyntävää informaatiota sekä kartoittaa muiden maiden haavoittuvuuksia. Kohteina ovat esimerkiksi ministeriöt ja maanpuolustus, mutta myös muu yhteiskunta.
Venäjään yhdistettyjä verkkoiskuja on tehty esimerkiksi ranskalaista televisiokanavaa, saksalaista terästehdasta ja Varsovan pörssiä vastaan.
Limnéllin mukaan Venäjä tunnustelee mahdollisuuksiaan lamauttaa yhteiskuntien kriittistä infrastruktuuria.
»Tiedustelu mahdollistaa tulevaisuuden hyökkäykset. Venäjä kartoittaa verkostoja arvioidakseen, mitä valmisteluja iskut vaativat.»
Vielä merkittävämmäksi saattaa nousta kesällä paljastunut Yhdysvaltain demokraattiseen puolueeseen kohdistunut hakkerointi, jonka jäljet johtavat myös Venäjälle.
Lontoon King’s Collegen professori, kybertutkija Thomas Ridin mukaan tietomurron takaa löytyy esimerkiksi samainen APT28-ryhmä kuin Ranskan tv-kanavaan kohdistuneessa kyberhyökkäyksessä. Rid kirjoittaa Motherboard-verkkosivustolla, että todisteet Venäjää vastaan ovat vahvoja.
Ridin mukaan Yhdysvalloissa ja muualla pitäisi tiedostaa, että ulkopuoliset voivat sabotoida vaaleja, mikä voi vaikuttaa niiden lopputulokseen.
Myös Limnéllin mukaan julkisesti esitetyt todisteet yhdistävät tapauksen Venäjään.
»Mikäli syytökset vieraan valtion tarkoituksellisista pyrkimyksistä vaikuttaa presidentinvaalien lopputulokseen osoittautuvat todeksi, kyse on vakoilun sijasta huomattavasti vakavammasta asiasta», Limnéll sanoo.
Hän arvioi, että silloin Yhdysvallat reagoisi voimakkaasti, koska toimimatta jättäminen merkitsisi vaikutusyritysten hyväksymistä.
Venäjän verkkotiedustelua voidaan verrata paljon huomiota herättäneisiin Suomen ja Baltian maiden ilmatilan loukkauksiin, sanoo tutkimusjohtaja Mika Kerttunen Cyber Policy Institute -säätiöstä Viron Tartosta. Venäjä seuraa, miten ja kuinka nopeasti maat reagoivat.
»Verkkotiedustelu ei ole sallittua eikä kiellettyä, sillä kansainvälinen oikeus ei ota siihen kantaa», Kerttunen sanoo.
Yhdysvallat, Kiina ja Venäjä ovat vakoilun kolme suurvaltaa. Muissa maissa on alettu vaatia vakoilulle kansainvälisiä pelisääntöjä. Kerttusen mukaan ennakkotapaukseksi voi nousta Haagin kansainvälisessä tuomioistuimessa käsiteltävä Australian ja Itä-Timorin kiista. Se liittyy vuonna 2004 tapahtuneeseen salakuunteluun.
Jos Australia todetaan syylliseksi, kyseessä olisi ensimmäinen tapaus, jossa vakoilu todetaan kansainvälisen oikeuden mukaan laittomaksi. Se voisi johtaa uusien, kybervakoilua koskevien sopimusten laatimiseen.
Venäjä voi kiistää yhteytensä hyökkäyksiin sanomalla, ettei valtiolla ole mitään tekemistä rikollisten kanssa.
Suurvallat suhtautuvat mahdollisiin pelisääntöihin eri tavoin.
Kerttusen mukaan erityisesti Yhdysvallat haluaisi sopia kybersodan oikeussäännöistä. Yhdysvallat haluaa kieltää Kiinan harjoittaman taloudellisen tiedustelun, kun taas poliittinen tiedustelu on amerikkalaisten mielestä hyväksyttävää.
Kiina ei puolestaan halua puhua oikeussäännöistä, ja Venäjä on myötäillyt Kiinan periaatteellista suhtautumista. Toisaalta myös Venäjä puhuu tarpeesta määrittää voimankäytön sääntöjä.
»Ero on siinä, että Yhdysvallat haluaa soveltaa kansainvälistä oikeutta esimerkiksi siviilien suojaamiseksi konfliktin vaikutuksilta. Venäjä ei halua tehdä yhtä selkeää eroa siviili- ja sotilaskohteiden kesken», Kerttunen toteaa.
Venäjä voi kiistää yhteytensä hyökkäyksiin sanomalla, ettei valtiolla ole mitään tekemistä rikollisten kanssa.
Venäjän valtiolla on monta kyberoperaatioihin kykenevää tahoa. Tiedustelua harjoittaa esimerkiksi puolustusministeriön alainen komentokeskus. Venäjän asevoimilla on myös verkkohyökkäyksiin erikoistunut yksikkö. Pääosa vastuusta on kuitenkin tiedustelupalveluilla, jotka vakoilevat myös perinteisin keinoin.
Vahvimmat tiedustelupalvelut ovat pääosin liittovaltiotasolla toimiva FSB ja ulkomaanoperaatioita suorittava GRU, mutta valtiolle tiedustelua harjoittaa yhteensä yhdeksän organisaatiota. Tämä johtaa kilpailuun palveluiden kesken, kirjoittaa vanhempi tutkija Mark Galeotti the European Council on Foreign Relations -tutkimuslaitoksen julkaisemassa raportissa.
Siksi kysymys kuuluu, paljonko Venäjä hyötyy keräämästään tiedosta.
Yhdessä tiedustelupalvelut keräävät enemmän tietoa kuin ehditään kunnolla arvioida, Galeotti sanoo. Putinin suosion toivossa presidentille suodatetaan ensi kädessä se, minkä Putinin uskotaan haluavan kuulla.
»Tiedustelupalvelut vahvistavat hänen käsityksiään sen sijaan, että ne haastaisivat niitä, kuten hyvien tiedustelupalveluiden kuuluisi tehdä», Galeotti summaa.
Venäjän hallitus tekee Limnéllin mukaan myös yhteistyötä lukuisten lahjakkaiden ja hyvin koulutettujen kyberosaajien kanssa. Hallitus rekrytoi esimerkiksi rikoksiin syyllistyneitä hakkereita tiedustelupalveluiden palvelukseen.
Yleisesti hallitukseen yhdistettyjä ryhmiä ovat esimerkiksi APT28, Dukes, Red October, Turla ja Energetic Bear. Useiden verkkovakoiluoperaatioiden ja -hyökkäysten jäljet ovat johtaneet niihin.
Limnéllin mukaan valtio katsoo ryhmien toimia tiettävästi läpi sormien niin kauan kuin ryhmät avustavat hallitusta pyydettäessä.
»Venäjä voi kiistää yhteytensä hyökkäyksiin sanomalla, ettei valtiolla ole mitään tekemistä rikollisten kanssa.»
Cyber Policy -instituutin johtajan Eneken Tikk-Ringasin mukaan Venäjällä ei tällä hetkellä ole mitään syytä katkaista siteitään rikollisryhmiin, joiden toiminta suuntautuu ulkomaille. Sellainen päätös saattaisi päinvastoin koitua haitaksi, sillä vaarana on, että hakkerit kääntyisivät Venäjän markkinoille.
»Yhteistyötä tehdään myös siksi, että Venäjä ei täysin pysty kontrolloimaan hakkereita», hän sanoo.
Ukrainan konflikti on tarjonnut valtioille ja asiantuntijoille paljon uutta tietoa siitä, miten kybervalmiuksia voidaan käyttää sodassa. Tietoverkkoja on hyödynnetty Ukrainassa siviilikohteiden vakoiluun, propagandakampanjoihin ja palvelunestohyökkäyksiin. Päättäjien kommunikaatiota on häiritty, äänestysprosesseja sorkittu ja luottamuksellisia sähköposteja vuodettu. Ukraina pitää Venäjän valtiota ainoana mahdollisena syyllisenä.
Tähän mennessä merkittävin hyökkäys tapahtui viime joulukuussa. Venäläinen haittaohjelma katkaisi sähköt tunneiksi noin 80 000 ihmiseltä Länsi-Ukrainassa. Asiantuntijoiden mukaan hyökkääjä pääsi käsiksi järjestelmään saastuneella tekstitiedostolla.
Silloinkin kun iskut on selkeästi yhdistetty Venäjään, länsi on reagoinut korkeintaan julkisella paheksunnalla.
»Ihmettelen, miten heppoisella poliittisella keskustelulla esimerkiksi Ukrainan sähkökatkos on käsitelty. Kyseessä oli selkeä isku kriittiseen infrastruktuuriin», Limnéll sanoo.
Vastatoimien puuttuminen selittyy osin sillä, että syyllisen osoittaminen on vaikeaa. Turlan satelliitteja hyödyntävä vakoilu paljastui vasta vuosien jälkeen. Hakkereiden muuttuessa yhä taitavammiksi usko aukottomaan tunnistamiseen on Limnéllin mukaan hiipumassa.
Toinen haaste on mitoittaa vastatoimet hakkereiden aiheuttamaa vahinkoa vastaaviksi. Esimerkiksi Naton linjauksen mukaan vakava kyberhyökkäys jäsenvaltiota vastaan voi laukaista artikla viiden, joka velvoittaa muut Nato-maat puolustamaan hyökkäyksen kohteeksi joutunutta jäsentä. Sitä tosin ei ole kerrottu, kuinka vakava hyökkäyksen on oltava.
Joka tapauksessa vaikeneminen Ukrainassa ja muualla tehdyistä verkkohyökkäyksistä rohkaisee Venäjää yhä uusiin iskuihin, Limnéll sanoo.
»Niin kauan kuin tiedustelusta ja iskuista ei koidu selkeitä poliittisia vastatoimia, voimme odottaa yhä vakavampia verkkohyökkäyksiä.»
Kirjoittaja on vapaa toimittaja.