Kiinalainen verkkovakoilu APT10-hakkeriryhmällä ja läntiset pilvipalvelut
Meille kaikille ovat tuttuja digitaaliset pilvipalvelut. Yrityksien ja yksityishenkilöiden tietokoneella aikaansaatuja tuotoksia sähköposteista yritysten kaikkein salaisimpiin asiakirjoihin tallennetaan pilveen.
Kun digitaaliset tiedot ovat pilvessä, ne eivät ole säilöttynä säilömistarkoituksessa omalla tietokoneella eikä yrityksen omalla palvelimella vaan pilvipalvelun tarjoavan yrityksen palvelimella.
Pilvipalvelu tarkoittaa siis palvelimien ja tietokoneiden verkostoa, jossa pilvipalvelun käyttäjä pääsee käsiksi digitaalisiin asiakirjoihin ja palveluihin tietokoneella tai mobiililaitteella internetin kautta melkeinpä mistä vain ja milloin vain kirjautumalla käyttäjätunnuksella ja salasanalla.
Pilvipalvelujen tarjoaja on englanninkielisissä teksteissä lyhennetty yleensä MPS-lyhenteellä (Managed Service Provider). Kyse on palvelusuhteesta, jossa palveluntarjontaa hallinnoiva toimittaa asiakkaalle tietoteknistä palvelua. MPS on suomennettuna ehkä vain palveluntarjoaja tai manageroiva palveluntarjoaja. Englanninkielisissä teksteissä käytetään myös IT service provider -määritettä, mikä on suomennettuna ehkä IT-palveluntarjoaja.
MPS:ssä kyse on tietoteknisten palvelujen ulkoistamisesta asiakkaalta tai asiakasyritykseltä. Palvelusuhde on yleistynyt pilvipalvelujen synnyn myötä. MPS:n sijaan käytän tässä kirjoituksessa ICT-palveluntarjoaja-määritettä, jota on ehkä eniten Suomessa käytetty kuvaamaan tietoteknistä palveluntarjoajaa. ICT on yhtä kuin tieto- ja viestintätekniikka (information and communications technology).
Määritteitä siis riittää ja niiden kanssa menee helposti sekaisin. Esimerkiksi Fujitsu on nimennyt oman palveluntarjontansa Hybrid IT -transformaatiopalveluksi. Fujitsusta palveluntarjoajana ja hakkerointikohteena lisää myöhemmin.
ICT-palveluntarjontasuhteessa asiakasyritys ei yleensä ulkoista tietoteknistä henkilöstöä ainakaan kokonaisuudessaan eikä itse tietotekniikkaa sovellutusohjelmineen. Tietosäilönnän lisäksi pilvipalvelut ovat mahdollistaneet asiakasyrityksille esimerkiksi liiketoiminnan tietoteknisten tukijärjestelmien vuokraamista tai myymistä palveluna, missä tietoväylänä toimii maailmanlaajuinen internetverkko. Palvelimelle säilötty digitaalista palvelua tuottava tieto voi olla toisella puolella maapalloa.
Kysymys nyt kuuluu, ovatko pilvipalvelut yrityksille ja myös valtioille turvallisia digitaalisen tiedon säilöntä- ja käsittelypaikkoja? Kysymys nyt myös kuuluu, onko digitaalinen tietoliikenne muodossa tai toisessa toimivan pilvipalvelun ja asiakkaan välillä turvallista?
Kiina on osoittanut, etteivät digitaalisen tiedon säilöntä- ja käsittelypaikat eikä digitaalinen tietoliikenne välttämättä ole turvallisia. Myös Venäjä on osoittanut, etteivät ne välttämättä ole turvallisia.
****
Kiina on asettanut tavoitteekseen olla maailman teknologiajohtaja vuoteen 2035 mennessä.
Kiina on asettanut tavoitteeksi olla myös maailman ykkösvaltio ohi Yhdysvaltojen vuoteen 2049 mennessä.
Kiina täyttää 100 vuotta päivämäärällä 1.10.2049.
Kiinan kommunistinen puolue täyttää 100 vuotta jo kahden vuoden kuluttua vuonna 2021. Kiinan kommunistisen puolueen nykyinen pääsihteeri Xi Jinping on puhunut ideologisena päämääräajankohtana ”kaksi 100 vuotta” (”兩個100年”, esim. 中国共产党新闻网 9.3.2018 ja 中央通訊社 24.10.2017), mikä tarkoittaa kahta tärkeää satavuotista ajankohtaa vuosina 2021 ja 2049.
Tavoitteiden puolesta myös vuosi 2035 on Kiinassa asetettu merkitykselliseksi. Itseasiassa vuodelle 2035 Kiinan kommunistinen puolue asetti tavoitteet jo 1980-luvulla, mutta kyse tuolloin oli vain sosialismin modernisoimisen aikataulusta. Nyt tällä vuosikymmenellä Kiina on asettanut ikään kuin lisänä olla myös maailman teknologiajohtaja vuoteen 2035 mennessä.
Lännessä on siis syytä muistaa Kiinan suhteen kolme kiinalaista tavoitevuotta: vuodet 2021, 2035 ja 2049. Nähtäväksi jää, jyllääkö maailmassa vuosina 2035 tai 2049 kiinalainen sosialismi vai vielä jokin muu.
Mitä Kiinan tavoitteekseen asettama teknologiajohtajuus sitten merkitsee?
Se tarkoittaa Kiinalle Yhdysvaltain teknologiajohtajuuden ohittamista ja olla maailmassa se taho, joka julkaisee ja ottaa ensimmäisenä käyttöön myöhemmin kaikkialle maailmaan leviävät teknologiset keksinnöt ja uutuudet.
****
Kiina on ns. kehittyvä talous. Kiina on vielä paljon johtavia länsimaita jäljessä teknologiassa.
Kehittyvän talouden mailla talouskasvu on nopeaa ja mailla on vielä käyttämättömiä resursseja – lähinnä työvoimaa – nopean talouskasvun luomiseksi. Myös Venäjää pidetään kehittyvänä taloutena, mutta mielestäni sitä se ei missään nimessä ole, vaikka kuuluukin kehittyvien maiden BRICS-ryhmään. Luokittelen Venäjän taantuvaksi taloudeksi, jonka elinehto on energian ja muiden luonnonvarojen myynti, ei teknologia.
Maailman teknologiajohtajuus tarkoittaa, että maan on kyettävä yksin luomaan uutta sellaista teknologiaa, mitä aiemmin ei ole maailmassa kukaan muu vielä luonut. Toistaiseksi Kiina on ottanut kiinni länsimaita teknologiassa mm. yritysostoilla, työntekijärekrytoinnilla ja kouluttamalla potentiaalista opiskelija-ainestaan länsimaisissa yliopistoissa ja muissa korkea-asteen koulutuslaitoksissa.
Länsimaiden kokema ongelma on, että Kiina käyttää Venäjän tapaan myös kyseenalaisia keinoja edistääkseen omaa teknologiakyvykkyyttä. Selvällä suomen kielellä sanottuna: Kiina varastaa länsimaissa kehitettyä teknologiaa. Kiina varastaa länsimaista teknologiaa myös sangen kyseenalaisin keinoin häikäilemättömästi.
Ennen internettiä kylmän sodan aikaan tiedon – myös teknologisen tiedon – varastamiseen tarvittiin yleensä henkilö kohdemaassa: tietojen laiton luovuttaja, vakooja. Ennen internettiä kylmän sodan aikaan salaisuudet olivat paperilla kunkin yrityksen tai valtiollisen hallinnon omissa tiloissa hyllyissä ja kassakaapeissa.
Nyt tietojen varastaminen onnistuu internetin kautta varastajan kotimaasta käsin. Ei tarvita enää tietojen luovuttajia eikä vakoojia kohdemaassa kuten ennen vanhaan. Kohdemaassa ei välttämättä edes huomata, että tietoja on varastettu. Varastaminen voi kestää vuosia ennen kuin jää kiinni – jos jää ollenkaan. Viisas varas lopettaa ajoissa ennen paljastumista.
Tuosta vakoilumenetelmien muutoksesta kielii myös se, ettei enää tiedon laittomia luovuttajia tai vakoojia ole niin paljon tuomittuina kuin kylmän sodan aikaan ennen internetiä. Toki heitä edelleenkin on, esimerkkinä Edward Snowden sekä ne valtiolliset kiinalaishakkerit, jotka on nimetty myöhemmin tässä blogikirjoituksessa.
****
Tietomurron ja tietojen varastamisen kohteeksi joutunut taho pyrkii salaamaan kohtalonsa. Tapahtunut tietomurto on häpeä etenkin yritykselle. Häpeä halutaan salata, ettei oma osaamattomuus paljastuisi. Kyse on ammatillisesta uskottavuudesta ja kyvykkyydestä, joka on haastettu tietomurrolla onnistuen.
Huhtikuussa kaksi vuotta sitten Viestintäviraston (nykyinen Traficom) kyberturvallisuuskeskus varoitti PwC:n (kotisivut) ja BAE Systemsin (kotisivut) raporttiin (Operation Cloud Hopper, April 2017) perustuen APT10-hakkeriryhmän suorittamasta kybervakoilukampanjasta, jonka kohteina olivat ICT-palveluntarjoajien järjestelmät (Viestintävirasto 5.4.2017).
APT10-hakkeriryhmän Cloud Hopper -operaatiosta varoittivat laajasti eri maiden tietoteknisestä turvallisuudesta – siis kyberturvallisuudesta – vastaavat viranomaistahot.
Suomea vastaavasti myös mm. Australian kyberturvallisuuskeskus (The Australian Cyber Security Centre, ACSC) varoitti tiedotteellaan 4.4.2017 (ACSC 4.4.2017).
“The sustained cyber intrusions by APT10 were significant and focused on large scale Managed Service Providers (MSPs) – specialist companies that manage IT services and infrastructure for many medium to large businesses and organizations, both in Australia and globally.” totesi Australian ulkoministeri Hon Marise Payne joulukuussa 2018 APT10-hakkeriryhmän toiminnasta (The Hon Peter Dutton MP 21.12.2018).
Vapaasti suomennettuna:
”APT10:n pitkäkestoiset tietoverkkorikkomukset olivat merkittäviä ja keskittyivät laajamittaisesti manageroiviin palveluntarjoajiin – erikoistuneisiin yrityksiin, jotka tarjoavat IT-palveluja ja -infrastruktuuria monille keskisuurille yrityksille ja organisaatioille sekä Australiassa että maailmanlaajuisesti.”
Kyse oli ICT-palveluntarjoajien pilvipalveluista, joihin APT10-hakkeriryhmä Cloud Hopper -operaatiossa kykeni tunkeutumaan. Cloud Hopper -nimi on kuvaava: pilvihyppääjä. Kyse oli siis tosiaankin tiedon välityksen ja säilönnän pilvistä ja niihin liittyvistä palveluista.
APT10-hakkeriryhmän Cloud Hopper -operaatio oli onnistunut. Nyt jälkikäteen me tiedämme vahvistettuna, että se oli erittäin onnistunut. Kyse oli tosiaan pitkäkestoisesta operaatiosta, jossa kiinalaiset laittoivat länsimaista tietoturvallisuutta urakalla kumoon.
Cloud Hopper -operaatiossa APT10-hakkeriryhmä kykeni tunkeutumaan kahdeksan läntisen maailman ICT-palveluntarjoajan sisään (Reuters 26.6.2019).
Reutersin mukaan nämä ICT-palveluntarjoajayritykset tai näihin liittyvät olivat: Hewlett Packard Enterprise (HPE) (kotisivut), IBM (kotisivut), Fujitsu (kotisivut), NTT Data (kotisivut), Dimension Data (kotisivut), DXC Technology (kotisivut) sekä Computer Sciences Corporation (CSC) ja Tata Consultancy Services.
Edellä luettelossa mainittu DXC Technology sai alkunsa huhtikuussa 2017, kun Computer Sciences Corporation (CSC), Electronic Data Systems (EDS) ja HP:n Enterprise Services (HPE) yhdistyivät. Huhtikuussa (3.4.2017) myös Tata Consultancy Services yhdistettiin HPE:hen.
Kyse oli siis maailman suurimmista ICT-palveluntarjoajista, joiden toiminta perustuu pilvipalveluun: tieto on palveluntarjoajan pilvipalvelussa ja tieto liikkuu internettiä pitkin asiakasyrityksien ja palveluntarjoajien välillä. Listalla on viisi yritystä maailman kymmenen suurimman joukosta. Kiina keksii oivallisen tavan, kuinka päästä kiinni noiden jättien takana olevaan tietomassaan, joka perustui pohjimmiltaan pilvipalvelumekanismin heikkoon lenkkiin: tavalliseen työntekijäkirjautumiseen järjestelmässä.
Tuossa kesäkuisessa jutussa Reuters kirjoitti osuvasti noista kiinalaisinvaasion kohteeksi joutuneista yrityksistä:
”The invasion exploited weaknesses in those companies, their customers, and the Western system of technological defense.”
Vapaasti suomennettuna:
“[Tietomurto]hyökkäys hyödynsi heikkouksia näissä yrityksissä ja niiden asiakkaissa sekä länsimaisten järjestelmien teknisessä suojauksessa.”
Yhdysvaltain oikeusministeriön joulukuussa 2018 prosessoiman syytteen mukaan APT10-hakkeriryhmä hyökkäsi vähintään 45 tietokoneeseen/tietokonejärjestelmään ja 25 teknologiayritykseen (U.S. Department of Justice 20.12.2018). Yhdysvaltain 12 osavaltiossa vähintään 90 tietokoneen hakkeroinnissa 15 yrityksestä seitsemän oli ilmailu- ja/tai avaruus- ja satelliittiteknologiayritystä, kolme viestintäteknologiayritystä, kolme elektronisia järjestelmiä ja laboratoriotutkimuslaitteita valmistavia yrityksiä, yksi meriteknologiayritys ja yksi öljyn- ja kaasuporaukseen liittyvä yritys.
APT10-hakkeriryhmä onnistui tunkeutumaan yrityksiin vähintään 12 maassa. Nämä maat olivat Brasilia, Kanada, Suomi, Ranska, Saksa, Intia, Japani, Ruotsi, Sveitsi, Yhdistyneet arabiemiirikunnat, Iso-Britannia ja Yhdysvallat. Yritykset toimivat kaupassa, teollisuudessa ja teknologiassa mm. pankki- ja rahoitus-, telekommunikaatio-, kulutuselektroniikka-, pakkaus-, konsultointi-, terveydenhuolto-, bioteknologia-, autonvalmistus-, kaivos-, öljyn- ja kaasunetsintäalalla sekä lääketieteen alalla laitevalmistuksessa.
Noiden edellä mainittujen ICT-palveluntarjoajien kautta APT10-hakkeriryhmä pääsi siis eteenpäin varsinaisiin kohteisiin. Seuraavat yritykset tai valtion laitokset tietomurtokohteina on julkisuudessa nimetty:
Suomalainen Valmet (kotisivut), ruotsalainen Ericsson (kotisivut), yhdysvaltalainen Huntington Ingalls Industries (kotisivut), yhdysvaltalainen Valen Analytics (kotisivut) ja yhdysvaltalainen Sabre (kotisivut) sekä Yhdysvaltain liittohallituksen alaisen ilmailu- ja avaruushallintoviraston NASA:n Jet Propulsion Laboratory (kotisivut) ja Goddard Space Flight Center (kotisivut).
Oheisen listan kaksi viimeistä kohdetta ovat Nasan hallinnoima avaruustekniikkakeskus ja tutkimuskeskus. On syytä olettaa, että kaksi viimeistä NASA:n hakkerointikohdetta oheisella listalla liittyy Kiinan pyrkimyksiin avaruudessa.
”Kiina aikoo rakentaa tutkimusaseman Kuuhun vuoteen 2030 mennessä” uutisoi Helsingin Sanomat huhtikuussa (HS 24.4.2019).
Tietomurron kohteeksi joutui myös norjalainen Visma (kotisivut), josta uutisoi Recorded Future -internetetnologiayritys helmikuussa (Recorded Future 6.2.2019). Visma toimii myös Suomessa omistaen ValueFrame- ja Severa-toiminnanohjausjärjestelmät.
Myös U.S. Department of Energy’s Lawrence Berkeley National Laboratory (LBNL, kotisivut) on nimetty murtokohteeksi. LBNL on yksi Yhdysvaltain energiaministeriön kansallisista laboratorioista ja teknologiakeskuksista.
Lisäksi APT10 onnistui tunkeutumaan Yhdysvaltain armeijan tietokoneisiin ja varastamaan sieltä arkaluonteisia tietoja yli 100 000 Yhdysvaltain laivaston palkkalistoilla olevalta. Varastettuja henkilötietoja olivat palkkalistoilla olevien nimet, sosiaaliturvatunnukset, syntymäajat, palkkatiedot, henkilökohtaiset puhelinnumerot ja sähköpostiosoitteet.
Uskallan arvioida, että em. henkilötiedot hakkeriryhmä on saanut Yhdysvaltain laivaston pilvipalvelussa olevasta taloushallintojärjestelmästä, joka hoitaa mm. palkanmaksua.
Summa summarum: Kiina kykeni murtautumaan pilvipalvelujen kautta koko läntiseen digitaalimaailmaan. Heikko lenkki oli löytynyt.
****
“China hacked a Navy contractor and secured a trove of highly sensitive data on submarine warfare” oli uutisotikko The Washington Post -lehden uutissivustolla viime kesänä (The Washington Post 8.6.2018).
Vapaasti suomennettuna:
“Kiina hakkeroi laivaston toimittajan ja löysi erittäin arkaluonteisia tietoja sukellusvenesodankäynnistä”.
Kiinalaishallinto oli onnistunut siis hakkeroimaan Yhdysvaltain laivastolle työskennelleen toimittajan. Englanninkielisessä tekstissä käytetään contractor-sanaa, jota tässä tapauksessa ei ehkä ole syytä kääntää ainakaan urakoitsija-sanalla vaan ehkäpä toimittaja-sanalla. Kyseessä on siis toimittaja, joka oli tai on edelleen sopimussuhteessa laivastoon.
Tässä tapauksessa ei ole tietoa, onko hakkerointi tapahtunut toimittajan ja tilaajan käytössä olevan yhteisen pilvipalvelun kautta vai onko toimittajan työntekijöillä ollut pääsy pilvipalvelua vastaavalla kirjautumisprosessilla Yhdysvaltain laivaston omille palvelimille. Murto tapahtui todennäköisesti toimittajan luokittelemattoman verkon kautta suoraan. Yhdysvaltain laivasto ei siis ollut pitänyt riittävää huolta toimittajansa tietoturvasta.
Kiinalaishakkerit onnistuivat varastamaan yhteensä 614 gigatavua sukellusveneitä ja vedenalaisia aseita koskevaa arkaluonteista huippusalaista materiaalia. Hakkeroitu materiaali käsitti mm. yliäänitorjuntaohjuksia, joiden pitäisi tulla laivaston käyttöön vuoteen 2020 mennessä. Hakkeroitu materiaali käsitti Sea Dragon -projektin lisäksi myös mm. merisodankäynnissä tärkeää sukellussignaali- ja sensorikirjastoa, siis digitaalista sodankäyntikirjastoa. Salaisesta Sea Dragon -projektista löytyy toistaiseksi vain hieman julkista tietoa (Popular Mechanics 11.6.2018).
Tässäkin tapauksessa murto siis tapahtui Yhdysvaltain laivastolle toimittavan yhteistyökumppanin kautta.
Edellä kuvattu tapahtui vuonna 2018. Jo vuonna 2015 Yhdysvaltain oikeuslaitoksessa käsiteltiin kiinalaisten hakkerointitapausta, jossa sairausvakuutusyhtiö Anthemilta (kotisivut) varastettiin 78,8 miljoonaa asiakirjaa. FBI on etsintäkuuluttanut syyllisenä kiinalaisen Fujie Wangin (王富士) (FBI 7.5.2019), kun Etelä-Indianan piirikunnan käräjäoikeus oli tehnyt asiassa oikeuspäätöksen (USDC ISDI 7.5.2019). Tähän tietomuroon ei liittynyt APT10-hakkerointiryhmää.
****
Mitä helvettiä sitten oikein on APT10?
APT10:n toiminta tunnetaan myös nimillä Stone Panda, menuPass, CVNX, Red Apollo ja POTASSIUM. Hakkeriryhmä on ollut laajemmin yleisessä tiedossa vuodesta 2013.
APT on lyhenne englanninkielinen sanoista ”advanced persistent threat”. Suomeksi kutakuinkin ”pysyvä kehittynyt uhka”, mikä kuvaa hyvin ainakin Kiinan valtiollista APT10-hakkeriryhmää.
APT-hakkeriryhmiä ja niiden suorittamia hakkerointioperaatioita on useita. Muun muassa FireEye-tietoturvayhtiö on niitä listannut APT-hakkeriryhmiä ansiokkaasti: APT1…APT40.
Mikä on APT10:n takana?
APT10 on Kiinan turvallisuusministeriön luomus ja sen hakkerointioperaatiot ovat Kiinan valtion luomuksia. Hakkerointi on Kiinalle valtiollista vakoilutoimintaa siinä missä Venäjällekin. Venäjä hakkeroi lisäksi luodakseen poliittista sekasortoa. Kyse on valtiollisesta toiminnasta eikä mistään nuorten nörttien irvailusta tai pätemisen tarpeesta. Kyse on teknologian varastamisesta ilmaiseksi varastamispalkalla. Sen läntisen teknologian varastamisesta, jonka kehittäminen on maksanut yrityksille ja valtioille miljoonittain ja miljardeittain.
Kiinassa APT10-hakkeriryhmää ylläpitää Kiinan turvallisuusministeriö tai tarkemmin ilmaistuna Kansantasavallan kansallisen turvallisuuden ministeriö (Chinese Ministry of State Security (MSS), 中华人民共和国国家安全部 tai 中华人民共和国国家安全部).
Intrusion Truth (入侵真相) -blogisivustolla on blogikirjoituksissa hyvin selvitetty, mistä APT10:n läntisiin pilvipalveluihin vuodesta 2016 kohdistettu Cloud Hopper -hakkerointioperaatio tapahtui. Tuossa hakkerointioperaatiossa kautta APT10:llä oli pääsymahdollisuus itse asiassa tuhansiin pilvipalvelua ja tarjoavien yritysten asiakasyrityksiin ympäri maailmaa (Intrusion Truth 15.8.2018 sekä myös Intrusion Truth 9.8.2018 ja Intrusion Truth 31.8.2018).
On huomioitava, että niin Kiina kuin Venäjä onkii vain sen tiedon, mitä ne hakevat ja mitä tarvitsevat. Arvioin, että APT10-hakkeriryhmä ei varastanut kaikkea sitä tietoa hyödyttömänä, mihin heillä oli pääsymahdollisuus hakkeroitujen pilvipalvelujen kautta. On myös todennäköistä, että monesta vihamielisestä tunkeutumisesta ei ole jäänyt sen kummoisempaa jälkeä kuin mitä laillinen kirjautuminen pilvipalveluun jättää. On varmasti lukuisa määrä tietojärjestelmiä, joihin ei tiedetä edes tunkeudutun.
Edellä mainituista Intrusion Truth (入侵真相) -blogisivuston kirjoituksista 9.8.- ja 15.8.-päivätyissä kirjoituksissa on mielestäni riittävän varmasti ja tarkasti osoitettu, että APT-hakkeriryhmän takana on Kiinan turvallisuusministeriö. En toista noita perusteita enää tässä, ne ovat luettavissa noista WordPress-blogikirjoituksista. Myös yhdysvaltalaisen oikeuslaitoksen päätösasiakirja neljä kuukautta myöhemmin joulukuussa toteaa pitkälti saman, mitä Intrusion Truth (入侵真相) -blogisivusto totesi jo elokuussa 2018.
Intrusion Truth -blogikirjoittaja(t) nimesi(vät) jo elokuussa 2018 Zheng Yanbinin, Gao Qiangin ja Zhang Shilongin Cloud Hopper -hakkerointioperaation tekijöiksi. Noista kolmesta hakkeroijasta Zhang Shilong (张士龙) sai myös yhdysvaltaisessa käräjätuomioistuimessa tuomion (USDC SDNY 17.12.2018) ja on edelleen FBI:n etsintäkuuluttama (FBI 20.12.2018). Toinen FBI:n etsintäkuuluttama samoista kolttosista käräjätuomioistuimessa tuomittuna on Hua Zhu (朱华). Zhu tunnetaan myös nimillä “Afwar”, “CVNX”, “Alayos” ja “Godkiller”. Shilong puolestaan tunnetaan myös nimillä ”Baobeilong”, “Zhang Jianguo”, ja “Atreexp”.
Nuo em. Intrusion Truth (入侵真相) -blogisivuston nimeämät kolme herraa työskentelivät Huaying Haitai Science and Technology Development Co Ltd -yrityksessä (天津华盈海泰科技发展有限公司) ja Laoying Baichen Instruments Equipment Co Ltd -yrityksessä Tianjinissa Kiinassa. Myös New Yorkin eteläisen piirikunnan käräjäoikeus totesi joulukuisessa oikeuspäätöksessään hakkeroinnin tapahtuneen Tianjinista käsin.
Mielestäni Kiinaa on pidettävä maailman varastajahäirikkönä numero yksi.
“More than 90 percent of the Department’s cases alleging economic espionage over the past seven years involve China. More than two-thirds of the Department’s cases involving thefts of trade secrets are connected to China. In the last few months of this year, our Department has announced charges in three cases alleging crimes committed at the behest of a branch of the Chinese Ministry of State Security.” (U.S. Department of Justice 20.12.2018).
Vapaasti suomennettuna:
“Yli 90 prosenttia [Yhdysvaltain] oikeuden käsittelemistä tapauksista, jotka koskevat taloudellista vakoilua viimeisten seitsemän vuoden aikana, liittyvät Kiinaan. Yli kaksi kolmasosaa oikeuden tapauksista, jotka käsittelevät kaupallisten salaisuuksien varkauksia, liittyvät Kiinaan. Kuluvan vuoden viimeisinä kuukausina oikeutemme on käsitellyt syytteitä kolmessa tapauksessa, jotka koskevat Kiinan turvallisuusministeriön toimeksiannosta tehtyjä rikoksia.”
Noin lausui Yhdysvaltain apulaisoikeusministeri Rod J. Rosenstein, kun New Yorkin eteläisen piirikunnan käräjäoikeus oli tehnyt päätöksen APT10-tapauksessa.
Suomessa ei vielä oikein ymmärretä, kuin kyrpiintyneitä Yhdysvalloissa ollaan Kiinan harjoittamaan tällaiseen ”varasta kun voit keinolla millä hyvänsä” -toimintaan.
****
Kuinka sitten APT10-hakkeriryhmä toimi Cloud Hopper -hakkerointioperaatiossa?
New Yorkin eteläisen piirikunnan käräjäoikeus on kirjannut toimintatavan hyvin ja yksityiskohtaisesti em. päätöksessään. Toimintatapa on esitetty myös monessa lehtijutussa.
New Yorkin eteläisen piirikunnan käräjäoikeuden 23-sivuinen päätös antaa hyvän ja luotettavan kuvan rikollisesta toiminnasta ja siitä, miten digitaalinen tietovarkaus toteutettiin. Jos asia kiinnostaa enemmän, kannattaa lukea oikeuspäätöksen MEANS AND METHODS OF THE CONSPIRACY -luku sivulta 5 STATUTORY ALLEGATIONS -lukuun saakka sivulle 15 (USDC SDNY 17.12.2018).
APT10-hakkeriryhmän toimintatapa on esitetty myös monessa lehtijutussa ja tuo toimintatapa lienee jo huomioitu läntisissä tietoturvakäytännöissä (Recorded Future 6.2.2019, enSilo Intelligence Team 24.3.2019 jne.).
Edellä mainitussa enSilo Intelligence Team -linkissä päivämäärällä 24.3.2019 on selvitty, kuinka APT10-hakkeriryhmä toimi viime keväänä uudella tavalla Yhdysvaltojen käräjäoikeustuomion jälkeen. Asiasta kiinnostuneiden kannattaa käydä myös ATT&CK™-sivuston Mitre-sivulla. Tuolta löytyy tietoa myös APT-hakkeriryhmistä (esim. APT1).
Nyt yritysten ja myös valtion tietoturvallisuudesta vastaavien tahojen on kuitenkin huomioitava, että esimerkiksi APT10-hakkeriryhmän ennen tätä vuotta toteudutut tietomurtoprosessit ovat jo vanhaa maailmaa. Tietoturvassa pitää toki olla eliminoituna myös vanhat murtautumisprosessit, mutta myös ne mahdollisesti tulevat, joista ei vielä ole kokemustietoa.
****
Kiinalaisten lisäksi Suomessa on syytä olla tarkkana myös venäläisten suhteen. On syytä olettaa, että kiinalaisia enemmän venäläisiä kiinnostaa Suomessa maanpuolustus, ulkoasiainhallinto sekä EU-asiat.
Suomessa on syytä noteerata ne lainsäädännölliset toimet, joilla Venäjä on tehnyt sekä tietoliikenteen kontrolloinnin että samalla myös digitaalisten tietojen käytön – siis varastamisen – viranomaisen suorittamana toimena helpommaksi. Mahdollisuudet valtiollisiin tietomurtotoimiin Venäjällä luotiin jo tämän vuosituhannen ensimmäisellä vuosikymmenellä. Venäjällä aloitusvuotena pidän vuotta 2003 (№ 126-ФЗ 7.7.2003), jolloin asiaan liittyvää lainsäädäntöä aloitettiin muokata Putinin astuttua valtaan vuonna 2000.
Venäjän itselleen luomat mahdollisuudet on huomioitava etenkin niiden Suomen valtion virkamiesten sekä myös niiden valtiolle toimivien yhteistyökumppanien ja toimijoiden, jotka matkustavat Venäjälle tai oleskelevat Venäjällä.
Lähtökohdaksi tulee ottaa, että venäläisviranomaiset FSB:n (ФСБ) johdolla ja Roskomnadzor-viestintävalvontaviraston (Роскомнадзор) avittamana tietävät kaiken, mitä tietokoneella tai puhelimella Venäjällä teet.
”Venäjän turvallisuuspalvelu kertoo laatineensa menetelmät internet-liikenteen salauksen purkamiseksi” oli lehtijutun alaotsikko Ilta-Sanomissa jo vuonna 2016 (IS 29.7.2016). FSB kertoi muutamaa päivää aikaisemmin verkkosivuillaan, että sekä tekniset että operationaaliset menetelmät salausavainten keräämiseksi ovat olemassa (FSB 25.7.2016).
Kyse virallisesti oli ja on laissa ”terrorismin torjunnasta” (№ 374-ФЗ 6.7.2017 ja № 375-ФЗ 6.7.2016). Lait luovat venäläisviranomaisille täydellisen pääsyn internetissä liikkuvaan tietoon. Tuo laki sallii myös kaikkien Venäjällä puheluita puhuvien tai teksti- ja sähköpostiviestejä lähettävien suomalaisten viestiliikenteen tallentamisen. Laki velvoittaa tele- ja internetoperaattorit niin sanotut metatiedot eli viestien tekniset välitystiedot kolmen vuoden ajan, sen sijaan sisältöjen säilyttämisvaatimus on puoli vuotta.
Noita lakeja ei kuitenkaan ole säädetty vakoilu- tai tietomurtotarkoituksessa vaan internetin kontrolloimistarkoituksessa. Tästä vuodesta lähtien tarkoituksena on myös Venäjällä olevan tietoverkon poiskytkeminen maailman muusta tietoverkosta tarvittaessa, kun lakimuutos saadaan voimaan 1.11.2019 ja 1.1.2021 (№ 90-ФЗ 1.5.2019).
Suomessa on siis huomioitava mahdollisuus käyttäjätunnusten ja salasanojen helpommasta päätymisestä venäläisviranomaisten tietoon silloin, kun tietokonetta ja/tai puhelinta käytetään Venäjällä.
Suomessakin on huomioitava valtiovallan toiminnassa Yhdysvaltojen tavoin se, ettei venäläisen tietoturvayhtiö Kaspersky Labin ohjelmistoja käytetä valtionhallinnossa eikä myöskään niissä yrityksissä, jotka tuottavat valtionhallinnolle arkaluontaista tietoa tai joilla on yhteinen pilvipalvelu valtionhallinnon kanssa.
Käsittelin aikanaan Kaspersky Labia ja sen yhteyksiä Venäjän valtionhallintoon kirjoituksessa otsikolla ”Venäläinen tietoturvayhtiö Kaspersky Lab ja Vladimir Putin” (US-blogi 14.10.2017).
****
”Valtio osti ministeriöille yhteisen tietojärjestelmän – Puolustusministeriön it-pomo tyrmää: Tietoturva alle minimitason” (Yle 24.11.2018).
Valtioneuvoston kanslia tiedotti puolta vuotta aikaisemmin ”Valtioneuvosto vauhdittaa ministeriöiden digitalisaatiota” (VNK 21.5.2018).
Vauhditettu digitalisaatiohanke on nimetty valtionhallinnossa VAHVA-hankkeeksi (Valtioneuvoston asianhallinnan kehittämishanke). VAHVA-hanke on suunniteltu saatavan valmiiksi syksyllä 2020, mutta se alkoi jo aikaisemmin kuin mitä Kiinan valtiollisen APT10-hakkerirymän Cloud Hopper -operaatiosta oli yksityiskohtaista tietoa.
VAHVA-hankkeen toimina-alustana toimii Tieto Oy:n Public 360° -järjestelmä. Kyse on Tieto Oy:n kehittämästä asian-, asiakirjojen- ja arkistojenhallinta -järjestelmästä.
”360° voidaan toimittaa paikallisesti asennettuna tai pilvipalveluna, jolloin hinta määritetään käyttäjäkohtaisesti ja käytössä on vain liiketoimintaan tarvittavat ominaisuudet. Koska ratkaisu on pilvipohjainen, sitä on helppo säätää tarpeiden muuttuessa. 360° Onlinen kaltainen pilviratkaisu on huomattavasti helpompi toteuttaa. Se vaatii vain vähän aikaa ja asennuksen, määrittelyn, projektinhallinnan jne. kustannukset ovat alemmat.” Tieto Oy kirjoittaa Public 360° -järjestelmän mainossivulla (Public 360°).
Kiinassa ja Venäjällä valtiolliset hakkerit tuskin malttavat odottaa ajankohtaa, milloin Public 360° -järjestelmä on riittävässä toiminnassa ja pääsevät kokeilemaan Tieto Oy:n järjestelmän kautta avointa pääsyä Suomen valtionhallinnon pohjattomiin asiakirjavarastoihin, jotka olisivat liitetty tuohon Tieto Oy:n pilvipalveluun ja helppoon murtautumiseen periaatteeltaan samalla tavalla kuin mitä APT10-ryhmä toteutti jo vuodesta 2006 alkaen muodossa tai toisessa aina näihin päiviin saakka.
Yritin etsiä niitä valtioita, joilla jo olisi Tieto Oy:n Public 360° -järjestelmä. En löytänyt yhtään ja tuskin löydän kymmenenkään vuoden päästä. En puhu nyt Suomesta.
Suomi on epäonnistuneiden kokeilujen luvattu maa. Se ei mitään, että kokeiluissa menetetään kymmeniä miljoonia, mutta mikä vahinko, jos hakkerit imevät valtion asiakirjat parempiin tarkoituksiin. Jos Kiinan valtiolliset hakkerit onnistuvat selättämään kahdeksan maailmanluokan ICT-palveluntarjoajaa ja myös paljon muuta Yhdysvaltain laivastoa myöten, Tieto Oy:n pilvipalvelu tuskin lienee erityinen haaste enää.
Surullisena muistelen sitä valtiollisten venäläishakkereiden tunkeutumista ulkoministeriön tietokoneille ainakin kevättalvella 2013 ennen kuin ruotsalaiset naapurimme antoivat meille vinkin venäläisestä tietomurrosta (MTV3 31.10.2013 ja Yle 2.7.2014).
Kiusallista joka tapauksessa oli, että me suomalaiset emme itse tietomurtoa havainneet ja tietomurto todennäköisesti olisi edelleen päällä ilman ruotsalaisia. On muistettava, että myös edellä tässä kirjoituksessa nimetyt kiinalaiset hakkerit toimivat pitkäaikaisesti ainakin vuodesta 2006 vuoteen 2018 New Yorkin eteläisen piirikunnan käräjäoikeuden päätöksen perusteella.
****
Suomen valtionhallinnossa on tärkeää, että vieraiden valtojen valtiollisilla hakkeriryhmillä ei ole luvatonta pääsyä mihinkään pilvipalvelun tai muutoin internetyhteyden päässä olevaan digitaalisessa muodossa olevaan materiaaliin esimerkiksi helposti murrettavissa olevien kirjautumismenetelmien kautta. Kiinalaiset ja myös venäläiset ovat pitäneet pilkkanaan tätä läntistä tietotekniikkaa vuosien ajan.
Valtionhallinnossa on myös muistettava, että vaikka itse valtiohallinnon tietoturva olisikin läpäisemätön, valtionhallintoon liittyvien yhteistyökumppanien tietoturva ei välttämättä ole. Valtionhallinto ei tietojeni mukaan itse käytä esimerkiksi Kaspersky Labin tietoturvatuotteita, mutta jotkin valtion yhteistyökumppanit käyttävät.
Jos olisin vieraan vallan valtiollinen hakkeri vaikkapa Venäjältä ja tehtäväni olisi päästä Suomen Puolustusvoimien digitaaliseen materiaaliin, alkaisin selvittää Puolustusvoimien yhteistyökumppanien tietoturvaa ja linkityksiä Puolustusvoimiin: Millog Oy (kotisivut), Conlog Group (kotisivut), Oy Morehouse LTD (kotisivut), Suomen Erillisverkot Oy (kotisivut), Valtion tieto- ja viestintätekniikkakeskus Valtori (kotisivut), Senaatti-kiinteistöt (kotisivut), Leijona Catering Oy (kotisivut) sekä ne eri alojen konsulttitoimistot, joiden kanssa puolustushallinnolla on erityyppisiä kausisopimuksia. Pitää aina löytää sen heikoin lenkki, josta isokin pato lähtee murtumaan.
Esimerkisi Gonlog Oy:hyn käsiksi saattaisi päästä myös Ruotsin kautta, kun ruotsalainen System Engineering Solutions 37 (kotisivut) osti yrityksen vuoden 2018 alussa.
Valtiovallan on syytä myös kontrolloida niiden yhteistyökumppanien työntekijöiden matkustusta maailmalla ja erityisesti Venäjällä, joilla on pilvipalvelujen kautta pääsymahdollisuus valtion arkaluonteiseen digitaaliseen tietoon. Itse tunnen Venäjän hyvin, mutta sama koskenee myös Kiinaa, jota en tiedä henkilökohtaisesti.
Kiinalaishakkerien onnistuminen varastaa Yhdysvaltain laivastolta arkaluonteista huippusalaista materiaalia 614 gigatavua osoittaa, kuinka tärkeää on pitää riittävää huolta myös yhteistyökumppanien tietoturvasta.
Sinisilmäinen ja hyväuskoinen ei siis saa olla. Kaikki tietovarkausmahdollisuudet on tukittava riippumatta siitä, onko tietovarkauden kohteeksi joutuminen ollenkaan todennäköistä. Epätodennäköisin kun on yleensä todennäköisintä.
Kiinalaisten ja venäläisten suhteen on myös muistettava myös heidän kärsivällisyytensä. Vuosi ei ole aika eikä mikään päämäärään pääsemiseksi.
Mitä Snowden paljastukset kertovat meille Euroopalle?
Pahin vihollinen tulee sisältä (lähin ja tärkein liittolainen)!
Kirjoitukseksi kertoo sitä tyyppillista ”keltaista vaaraa”, jonka olen kuullut 80 luvusta lähtien.
Ilmoita asiaton viesti
Aika uhkarohkeaa tallentaa pilveen dokumentteja kun niitä voidaan käpälöidä ja takaisin ladattaessa sitten onkin yllätys piiloitettu dokumentiin.
Ilmoita asiaton viesti
USA tuntuu olevan vaarassa lukuisista mainituista oikeustapauksista katsoen.
Voiko Kiinan teknistä kasvamista edes hidastaa?
Venäjän ongelma on vaikka se saisi tietoa niin ei sitä osattaisi hyödyntää.
Aikanaan Fiat rakensi sinne autotehtaan ja opetti kädestä pitäen mutta ei mitään autoja tullut.
Ilmoita asiaton viesti
Ehkä Suomessa ajatellaan tietoturvan suhteen samoin kuin Naton suhteen: pelätään, että pyrkimys sen aukottomaan varmistamiseen tulkitaan vihamieliseksi eleeksi niiden valtioiden taholta, joilla on intressejä murtautua suomalaisiin järjestelmiin.
Ilmoita asiaton viesti
Minä kyllä käsittänyt että kaikki interneetissä liikkuva talletetaan kyllä usan valtion toimesta myös talteen. Eikait kukaan usko ettei amerikkalaiset käytä näitä tiedostoja urkintaan.
Olen ymmärtänyt ettei se ole edes julkinen salaisuus tahi urpaanilegenda vaan aivan faktaa että näin tapahtuu.
Ilmoita asiaton viesti
Tietojärjestelmät ja niiden suojaus ovat oma lukunsa, mutta Suomen kohdalla suurin riski lienevät ne valtionhallinnon työntekijät, joilla on laillinen pääsy noihin järjestelmiin. Ainakin Venäjällä on Suomessa varmaan ahkeria informantteja hyvin monilla organisaatiotasoilla.
Ilmoita asiaton viesti
Useisiin pilvipalveluihin riittää kirjautumiseen käyttäjätunnus (joka on yleensä vain sähköpostiosoite) sekä salasana, joka voi olla itsekin valittu.
Kun kirjaudun Venäjällä joihinkin vähäpätöisiin työtehtäviin liittyviin suomalaisiin pilvipalveluihin (esim. toiminnanohjaus), onnistuu se miltä tahansa venäläiseltä koneelta (ei siis vain omalta) ja missä tahansa WiFi-verkossa, vaikka verkko olisi epäluotettava (vanhentunut suojavarmenne tms.) tai suojaamaton.
Kiinalaiset hakkerit onnistuivat haalimaan noita käyttäjätunnuksia ja salasanoja, joilla pääsivät sisään.
Miksi edes niissä pilvipalveluissa, jotka sisältävät hyvinkin salaista tietoa, ei kirjautumiseen tarvita vahvaa kolmen kohdan tunnistautumista, kuten esim. kirjautuessa pankkiin?
Miksiköhän ei tarvita, kun nuo yksinkertaiset kirjautumiset on niin helppo hakkereiden selvittää?
Ilmoita asiaton viesti
Kiina ja Venäjä ovat osoittaneet, että tietoverkot eivät ole välttämättä turvallisia.
Kirjoittaja jättää tahallaan mainitsematta USA:n massiivisen globaalin internet-liikenteen ja dataverkkojen vakoilukoneiston, joka myös ja aivan erityisesti osoittaa että tietoverkot eivät ole turvallisia.
Tämän tahallisen näkökulman rajauksen jälkeen ei olekaan yllätys, että globaali sananvapauden ja tietosuojan kansantajuistamisen sankari Snowden mainitaan samassa lauseessa, ja ilmeisesti sisältyen, laittomien tietovuotajien ja vakoojien kanssa.
Jos blogisti vaivautuu vastaamaan, niin kiinnostaisi tietää onko blogistin mielestä Snowden rikollinen joka kuuluisi vankilaan, ja olisiko hänen ollut parempi ja moraalisesti oikeampaa olla kertomatta julkisuuteen niitä kuuluisia paljastuksiaan USA:n vakoiluohjelmasta?
Ilmoita asiaton viesti
Kirjoitus oli muuten hyvä, mutta tosiaankin tietoliikennevakoilu ja muu vakoilu taitaa mennä tiedustelubudjettien suhteessa. USA on ylivoimainen ykkönen ja Englanti yllättävä kakkoshevonen. Esim. suomalaiset USA:n, Naton ja muutaman muun instanssin yhteistyötahot ja heidän täkäläinen organisoitumisensa on hoidettu äärimmäisen elegantilla ja tehokkaalla tavalla.
Nimenomaan tuossa tiedustelun yhteiskunnallisen vaikuttavuuden kokonaisvaltaisuudessa USA on ehdoton ykkönen ja Venäjä ehdoton hännänhuippu. Venäjän julkiseen syntilistaan saadaan säännöllisesti ängettyä jopa muiden tekosia.
Ilmoita asiaton viesti
Mielenkiintoista tässä ovat nuo Yhdysvaltain oikeuslaitoksen kiinalaishakkereita koskevat tuomiopäätökset. En löytänyt muiden maiden kohdalta vastaavia oikeuspäätöksiä. Muissa maissa hakkeroinnin kohteeksi joutuminen pyritään ilmeisesti peittelemään.
Tuo joulukuinen 2018 Yhdysvaltain käräjäoikeuden päätöksen tarkka kuvaus rikoksentekotavasta pitäisi kyllä antaa mahdollisuudet vastaaviin tutkinta- ja oikeusprosesseihin myös mm. Suomessa, jossa Kiinan hakkerikohteena oli Valmet.
Valmetin hakkerointiasian uutisoi aluksi Reuters kirjoituksessaan otsikolla ”Inside the West’s failed fight against China’s ‘Cloud Hopper’ hackers” (https://www.reuters.com/investigates/special-repor…) ja sitä referoi Suomessa Helsingin Sanomat kirjoituksessa otsikolla ”Reuters: Teollisuusjätti Valmet joutui Kiinan verkkovakoilun uhriksi” (https://www.hs.fi/teknologia/art-2000006157622.html).
Miksi Supo tai KRP ei alkanut tutkia asiaa, vaikka kyseessä ei ole rikos tietokonerikosasiana (tietomurto) eikä vain ilmeisemmin asianomistajarikos, varsinkin jo ajatellaan toimintaa Valmetin tietojärjestelmien ulkopuolella?
Ilmoita asiaton viesti