Venäjän tiedustelupäähallinto GRU ja Suomen eduskunnan tietomurto

Eduskuntaan kohdistettu kyberisku on vakava hyökkäys demokratiaamme ja suomalaista yhteiskuntaa kohtaan. Emme voi hyväksyä minkäänlaista vihamielistä kybertoimintaa, olipa se valtiollisen tai ei-valtiollisen tahon toteuttamaa.” (Eduskunta 28.12.2020).

Noin lausui muutama päivä sitten eduskunnan puhemies Anu Vehviläinen eduskuntaan syksyllä tehdystä tietomurrosta, joka kohdistui sähköpostitileihin.

Hyökkäys on vakava loukkaus suomalaista demokratiaa ja yhteiskuntajärjestystä vastaan. Tärkeää, että tekijät saadaan selville.

Noin puolestaan lausui presidentti Sauli Niinistö STT:lle, jota lainasi suomalaismedia laajasti (esim. Yle 28.12.2020, HS 28.12.2020, IL 28.12.2020, IS 28.12.2020 ja MTV3 Uutiset 28.12.2020).

Vehviläisen ja Niinistön lausunnot olivat keskenään koordinoituja ja samansisältöisiä.

Tietomurto oli havaittu eduskunnan sisäisessä teknisessä valvonnassa. Keskusrikospoliisi kertoi tiedotteessaan, että esitutkinta on aloitettu jo loppusyksystä 2020 ja KRP tutkii tapausta epäiltynä törkeänä tietomurtona ja vakoiluna (KRP 28.12.2020).

Eduskunnan sisäinen tekninen valvota? Mikä ja mitä se on? Onko kyse satunnaisesta havainnosta satunnaisessa valvonnassa vai reaaliaikaisesta havainnosta 24/7-valvonassa?

Ainakaan eduskunnan tietovalvonta ja -turvallisuus eivät ole kunnossa – ei sinne päinkään –, kuten tästä kirjoituksesta käy myöhemmin karusti ilmi.

****

Datainnbruddet mot Stortinget er ferdig etterforsket” (PST 8.12.2020).

Vapaasti suomennettuna:

Stortingetin tietomurto on tutkittu.

Oheinen lainaus on Norjan poliisin turvallisuuspalvelun tiedotteesta päivämäärällä 8.12.2020.

PST (Politiets Sikkerhetstjeneste, PST) on Norjan poliisin turvallisuuspalvelu tai suomalaisittain suojelupoliisi. Stortinget on puolestaan Norjan parlamentti tai suomalaisittain Norjan suurkäräjät.

Norjan poliisin turvallisuuspalvelu sai tietää elokuussa 2020, että Norjan parlamenttiin oli tehty laaja kyberoperaatio. Stortinget ilmoitti asiasta – teki siis rikosilmoituksen – poliisille syykuun 1. päivänä ja tutkinta alkoi välittömästi. Kyberoperaation tarkaksi ajankohdaksi on kirjattu 24. elokuuta 2020.

Tuo poliisin turvallisuuspalvelun PST 8.12.2020 -tiedote kannattaa käydä lukemassa ainakin Suomen eduskunnassa hyvin huolella. Siinä on kerrattu, miten sähköpostitileihin on murtauduttu käyttäen hyväksi käyttäjänimiä ja salasanoja sekä salasanan etsinnän bruteforcing-menettelyä. Bruteforcingissa kyse on suomeksi kuta kuinkin väsytyshyökkäyksestä (esim. Infosec 20.9.2020).

Lisäksi poliisin turvallisuuspalvelun mukaan tietomurtautujat yrittivät tunkeutua Stortingetin tietokoneissa myös syvemmälle järjestelmiin (esim. Docker- ja Kubernetes-järjestelmät), mutta eivät onnistuneet pyrkimyksissään. Murtautujat onnistuivat kuitenkin pääsemään joihinkin Stortingetin tileihin ja henkilökohtaisiin tileihin hyödyntämällä epävarmoja salasanoja sekä sitä, että käyttäjät eivät olleet käyttäneet kaksivaiheista todennusta (two-factor authentication, 2FA).

Norjan poliisin turvallisuuspalvelu kertoo myös, että arkaluonteista sisältöä on purettu joistakin murretuista sähköpostitileistä. Poliisitiedotteessa soimataan melko kovin sanoin Stortingetin lepsuja tietoturvakäytäntöjä.

Norjan poliisin turvallisuuspalvelun tiedote on hyvä. Vastaavaan Suomessa KRP ja Supo eivät kykene. Niiden tiedotteet ovat yleensä yleislässyä vailla todellista sisältöä.

Suomen ja Norjan erilaisesta suhtautumisesta valtiollisten tahojen suorittamiin tietomurtoihin kertoo tiedottaminen.

Norjan kyberisku tehtiin 24.8.2020 ja poliisi alkoi tutkia rikosta julkisesti 1.9.2020. Stortingetin hallintojohtaja Marianne Andreassen tiedotti tietomurrosta samana päivänä 1.9.2020 eli vain viikko tapahtuman jälkeen (Stortinget, IT-angrep mot Stortinget 1.9.2020). Hallintojohtajaa (direktør for Stortingets administrasjon) vastannee Suomessa eduskunnan pääsihteeri.

Suomessa syksyn tietomurrosta ei olisi tiedotettu nyt joulunakaan, ellei asiasta olisi valunut vihiä ulkopuolelle ja ellei asiasta olisi alettu kysellä. Ne syyt, mitä Suomessa poliisi kertoo salassapidolle ilman tiedottamista, ei päde ainakaan Norjaan.

****

Seuraava lainaus em. norjalaisesta PST 8.12.2020-poliisitiedotteesta on mielenkiintoinen ja asian ydin:

Etterforskningen viser at nettverksoperasjonen som Stortinget ble rammet av, er en del av en større kampanje nasjonalt og internasjonalt, som har pågått i alle fall siden 2019. Analysene viser at det er sannsynlig at operasjonen er utført av cyberaktøren som i åpne kilder omtales som APT28 og Fancy Bear. Denne aktøren knyttes til Russlands militære etterretningstjeneste GRU, mer spesifikt deres 85. hovedsenter for spesielle tjenester (GTsSS).

Vapaasti suomennettuna:

Rikostutkinta osoittaa, että verkko-operaatio, jonka kohteeksi Stortinget joutui, on osa laajempaa kansallisesti ja kansainvälisesti toteutettua kampanjaa, joka on jatkunut ainakin vuodesta 2019 lähtien. Tutkinta osoittaa, että on todennäköistä, että operaation toteutti kybertoimija, jota kutsutaan avoimissa lähteissä nimellä APT28 ja Fancy Bear. Tämä toimija on yhteydessä Venäjän tiedustelupäähallinto GRU:hun, tarkemmin sanottuna sen 85. erikoispalvelun keskukseen (GTsSS).

Suomen eduskunta joutui samaan aikaan saman venäläisen valtiollisen tiedusteluorganisaation hyökkäyksen kohteeksi. Venäläiset lienee yrittäneet samaan aikaan laajemminkin samalla hyökkäyskaavalla, ja ainakin Suomen sekä Norjan kansanedustuslaitokset avautuivat heikon tietotuvan vuoksi.

KRP:ssä ja Supossa tuo Norjan poliisin turvallisuuspalvelun tiedote on syytä lukea tarkkaan ja olla yhteydessä Norjan poliisiin, jos eivät vielä ole olleet yhteydessä rikostutkinnan kansainvälisessä yhteistyössä.

Onko eurooppalaisissa länsimaissa murtoja enemmänkin Venäjän viime syksyn hyökkäyksessä, joista vielä ei ole uutisoitu?

****

Saksan liittopäivät – Bundestagin – venäläiset olivat murtaneet jo aiemmin huhti- ja toukokuussa vuonna 2015 APT28:lla ja pääosin samalla kaavalla. Saksan keskusrikospoliisi (Bundeskriminalamt, BKA) ja sisäministeriön alainen liittovaltion perustuslakisuojavirasto (Bundesamts für Verfassungsschutz, BfV) kirjasivat tutkinnassaan yhtä selvästi kuin Norjan poliisin turvallisuuspalvelu, mikä taho on tietomurron tekijä. Saksalaiset nimesivät vieläpä itse tekijähenkilön Venäjän valtiollisen tiedusteluorganisaation sisällä.

Liittovaltion syyttäjä (Der Generalbundesanwalt) antoi tämän vuoden toukokuun 5. päivänä kansainvälisen pidätysmääräyksen 29-vuotiaasta venäläisestä tiedustelu-upseeri Dmitri Badinista (Дмитрий Бадин). Miestä syytetään salaisen palvelun edustajana tietojen vakoilusta. Kaksi viikkoa kestäneen hyökkäyksen aikana Venäjälle virtasi Saksan liittopäiviltä tietoa yhteensä noin 16 gigatavua.

Saksan liittovaltion syyttäjän 50-sivuinen syytekirjelmä on vielä toistaiseksi sinetöity eikä siten julkisesti saatavissa ennen oikeuskäsittelyn alkua.

Saksalaiset rikostutkijat selvittivät, että Dmitri Badin käytti ja hallitsi 7. toukokuuta 2015 klo 13.31 ainakin yhtä erityisesti kehitettyä VSC.exe-nimistä haittaohjelmaa, jota Badin käytti päästäkseen liittopäivien salasanoihin ja tunkeutumaan vielä syvemmälle liittopäivien IT-järjestelmään. Badinin käyttämä haittaohjelma tai useampi haittaohjelma peitti siis itsensä VSC.exe-tiedostona.

KRP:ssä ja Supossa on syytä ja olla yhteydessä Saksan liittovaltion syyttäjään ja keskusrikospoliisiin, jos eivät vielä ole olleet rikostutkinnan kansainvälisessä yhteistyössä.

****

Saksa on ensimmäinen kerta, kun jokin muu maa kuin Yhdysvallat on asettanut Venäjän valtion armeijalaitoksen palveluksessa olevan henkilön syytteeseen tietomurrosta ja riittävä näyttö on katsottu olevan tietomurron suorittajasta.

Kummallista kuitenkin on, ettei kansainvälistä pidätysmääräystä näyttäisi vielä olevan toimitettu – ei eurooppalaista pidätysmääräystä eikä muutakaan Interpolin (kotisivut) kautta (Red Notices).

Pidätysmääräys lienee kuitenkin ollut vaadittu, jotta EU on voinut asettaa Venäjälle pakotteita Saksan liittopäivien tietomurrosta.

Euroopan unioni määräsi Venäjälle pakotteita 22.10.2020 osallistumisesta ​​Saksan liittopäivien vuoden 2015 hakkerointiin (Official Journal of the European Union LI 351/1. 22.10.2020). Kesti siis viisi vuotta tapahtumasta, kun pakotteet saatiin aikaan. Pakotteet kohdistettiin kahteen GRU:n palkkalistoilla olevaan venäläiseen, jotka toimivat GRU:n 85. erityispalvelujen keskuksessa.

Toinen EU:n pakotelistalla olevasta on em. tiedustelu-upseeri Badin. Toinen on saman GRU-organisaation Igor Kostjukov (Игорь Костюков). Amiraali Kostjukov on Venäjän asevoimien pääesikunnan pääosaston päällikkö ja pääesikunnan apulaispäällikkö. Kolmas oikeustoimija EU:n pakotelistalla on itse 85. erityispalvelujen keskus.

****

Myös Yhdysvallat on etsintäkuuluuttanut ja saattanut oikeustoimien kohteeksi Dmitri Badinin kolttosistaan.

Badin on yksi niistä seitsemästä, joista Yhdysvaltain oikeusministeriö syytti kyberhyökkäyksistä jo vuonna 2018 ja jotka FBI on etsintäkuuluttanut (Wanted by the FBI 4.10.2018). Kuusi muuta etsintäkuulutettua venäläishakkeria Badinin lisäksi ovat Aleksei Morenets (Алексей Моренец), Jevgeni Serebrjakov (Евгений Серебряков), Ivan Ermakov (Иван Ермаков), Artem Malyšev (Артем Малышев), Oleg Sotnikov (Олег Сотников) ja Aleksei Minin (Алексей Минин).

GRU Hacking to Undermine Anti-doping Efforts (GRU-hakkerointi heikentää dopingin vastaisia toimia). FBI etsintäkuulutti 4.10.2018 seitsemän Venäjän GRU:n 85. erikoispalvelun pääkeskuksen palveluksessa olevaa tietomurtoja suorittavaa sotilasvirkailijaa.

Yhdysvaltalaistiedustelulähteiden mukaan Dmitri Badin oli Yhdysvaltojen demokraattisen puolueen (Democrats) tietohakkeroinnin suorittaneen ryhmän vetäjä.

Yhdysvaltain oikeusministeriö julkaisi heinäkuussa 2016 kahdentoista GRU:n tiedustelu-upseerin nimet, jotka olivat vastuussa puuttumisesta Yhdysvaltain presidentin vaaleihin 2016. Erikoisyyttäjä Robert Mueller nosti syytteet noita GRU:n tiedustelu-upseereita vastaan (The United States District Court for the District of Columbia 13.7.2016).

Kahdentoista GRU:n tiedustelu-upseerin nimet ovat Viktor Netyško (Виктор Нетыкшо), Boris Antonov (Борис Антонов), Dmitri Badin (Дмитрий Бадин), Ivan Ermakov (Иван Ермаков), Aleksei Lukašev (Алексей Лукашев), Sergei Morgatšev (Сергей Моргачев), Nikolai Kozatšek (Николай Козачек), Pavel Eršov (Павел Ершов), Artem Malyšev (Артем Малышев), Aleksandr Osadtšuk (Александр Осадчук), Aleksei Potemkin (Алексей Потемкин) ja Anatoli Kovalev (Анатолий Ковалев).

Esimerkiksi Ivan Ermakovin erillisen etsintäkuulutuksen voi käydä katsomassa täältä.

Tuo Columbian piirikunnan käräjäoikeuden asiakirja on syytä käydä lukemassa myös KRP:ssä ja Supossa varsin tarkkaan, ettei Suomen eduskuntaa koskeva rikostutkinta mene liian vaikeaksi ja aikaansaamattomaksi pyörittelyksi, jossa mukana ovat myös suomalaiset ulkopoliittiset pyörittäjät.

****

Niin Suomen ja Norjan kuin myös Saksan ja Yhdysvaltojen em. tietomurtojen takana on Venäjän tiedustelupäähallinto tai Venäjän tiedustelupalvelun pääosasto, kumpaa nimeä kukin haluaakin käyttää GRU:sta – tai ehkäpä lisäksi vielä jotain muuta nimeä (Главное разведывательное управление, ГРУ).

Eivätkä nuo neljä maata ole ainoita tahoja GRU:n listalla, joihin APT28 on tehnyt tietomurron 2010-luvun jälkipuolella.

Esimerkkeinä mainittakoon Kemiallisten aseiden kieltojärjestö (Organisation for the Prohibition of Chemical Weapons, OPCW) ja Sveitsin kemiallisten aseiden laboratorio Spiez (Labor Spiez) sekä Maailman antidopingtoimisto Wada (World Anti-Doping Agency, WADA) Lausannessa pidetyssä kokouksessa.

Kaksi Venäjän tiedustelupalvelun tiedustelu-upseeria pidätettiin keväällä 2018 Haagissa. Venäläiskaksikon tarkoitus oli vakoilla Sveitsissä sijaitsevaa Spiezin laboratoriota, jota Kemiallisten aseiden kieltojärjestö OPCW käytti Salisburyn Novitšok-myrkkyiskun tutkinnassa.

Tapauksen tutkinnan seurauksena Hollanti karkotti kahden pidätetyn lisäksi myös kaksi muuta venäläistä tiedustelu-upseeria, joiden nimet ovat Aleksei Morenets, Jevgeni Serebrjakov, Oleg Sotnikov ja Aleksei Minin.

Nuo samat nimet on kirjattu tässä kirjoituksessa kolmesti eri yhteyksissä.

Tuo pidätys aukaisi myös Saksan liittopäivien tietomurron tutkinnan. Nuo neljä tiedustelu-upseeria kuuluvat samaan sotilasyksikköön, jonka jäljempänä tässä kirjoituksessa nimeän ja käsittelen tarkemmin (sotilasyksikkö 26165).

Loppujen lopuksi Venäjällä on melko pienet piirit, jotka toimivat tietomurroissa ja muissa sabotaaseissa läntisessä Euroopassa ja Yhdysvalloissa.

Hollannin karkottamien neljän venäläisen tiedustelu-upseerin passikopiot (Jevgeni Serebrjakov, Aleksei Morenets, Oleg Sotnikov ja Aleksei Minin). Kyseiset tiedustelu-upseerit toimivat sotilasyksikössä 26165, jonka kontolla on käytännössä kaikki Venäjän suorittamat tietomurrot APT28-hakkeriryhmänä.

****

Länsimaiselta nimeltään APT28 (tai Fancy Bear) on se venäläinen GRU:n alainen hakkeriryhmä, joka tekee tietomurtoja ympäri maailmaa. APT28-ryhmällä on ollut aiemmin myös muita nimiä, mutta nyttemmin tunnetaan parhaiten APT28- tai Fancy Bear -ryhmänä.

Käytän tässä kirjoituksessa yleisemmin APT28-nimeä (APT = Advanced Persistent Threat). Kyseessä on siis edistyneestä jatkuvasta uhkasta.

APT28:n sotilasyksikkö on 26165 (в/ч 26165) 85. erikoispalvelun pääkeskuksessa (85-й главный центр специальной службы).

Sisäänkäynti Venäjän puolustusministeriön rakennuskompleksin alueelle, jossa sotilasyksikkö 26165 sijaitsee Moskovassa osoitteessa Komsomolski Prospekt 20 (Комсомольский проспект, дом 20), käynti vakoilutiloihin osoitteesta Komsomolski Prospekt 22. Kyse on Hamovnitšin kasarmialueesta (Хамовнические казармы).

Sotilasyksikön 26165 osoite löytyy mm. valtion oikeustoimijoiden rekisteristä (ФКУ Войсковая Часть 26165). Sotilasyksikkö on viety rekisteriin 29.12.2011. Fancy Bear on kuitenkin tuttu tietotekniikan ammattilaisille jo vuodesta 2004.

Neuvostoaikana 85. erikoispalvelun pääkeskuksen tehtävä oli siepattujen viestien salauksen purkaminen ja salausanalysointi GRU:n 6. osastossa (6-го управления ГРУ). Yksikkö oli viralliselta nimeltään GRU:n erikoispalvelun 85. pääkeskus (85-м главным центром специальной службы ГРУ).

GRU:ssa edellä mainittu Dmitri Badin, joka on sekä Yhdysvaltojen että Saksan poliisitutkinnoissa tietorikoksiin syylliseksi epäiltynä, nimettiin sotilasyksikössä 26165 majuri Boris Antonovin (Борис Антонов) avustajaksi. Boris Antonov oli vastuussa tämän sotilasyksikön 26165 tietokoneyksiköstä tai -ryhmästä. Badin on ilmeisesti tuon hakkeriryhmän jonkinlainen ryhmänjohtaja Antonovin alaisuudessa. Vuoteen 2018 saakka sotilasyksikköä 26165 johti Viktor Netyško (Виктор Нетыкшо).

Badin on ilmeisen pätevä työssään, jos mittarina käytetään kiinnijäämistä hakkeroinnissa. Kaveri siis touhuaa paljon, mutta jää myös kiinni paljon.

Viktor Netyško siirrettiin Robert Muellerin syytteiden noston jälkeen pois sotilasyksikön 26165 johdosta. Nyt sotilasyksikköä 26165 Netyškon jälkeen johtaa eversti Dmitri Mihailov (Дмитрий Михайлов).

****

Venäjältä löytyy melko runsaasti aineistoa, miten kybertoiminta on organisoitu, mutta en mene syvällisemmin siihen tässä yhteydessä rajoittaakseni kirjoituksen pituutta. Aineistosta voisi laatia vaikka satasivuisen esityksen, jos mennään pitkälle neuvostohistoriaan.

Yksi mielenkiintoinen yksityiskohta on se, miten Netyškon aikaan sotilasyksikköön 26165 hankittiin uusia nuoria hakkereita koulumaailmasta ja miten sopimuksia oppilaitosten kanssa laadittiin samalla kaavalla.

Ainakin jo vuonna 2014 Netyško allekirjoitti nuo koulusopimukset henkilökohtaisesti. Esimerkki sopimuksesta päivämäärällä 1.9.2017 sisältöineen löytyy täältä. Koulu, jonka kanssa sopimus on tehty, on koulu nro 1573 Moskovassa (Государственное бюджетное общеобразовательное учреждение города Москвы Школа №1573, ГБОУ Школа №1573).

Mielenkiintoista on, että sotilasyksikkö 26165 toimi Venäjän FSB:n akatemian kryptografian, viestinnän ja informatiikan instituutin (Институт криптографии, связи и информатики Академии ФСБ России, kotisivut) kanssa ja tuo FSB:n instituutti oli sopijaosapuoli koulujen kanssa.

Hankkiakseen tietotekniikasta kiinnostuneita nuoria tietomurtajan uralle, FSB ja GRU kalastelevat heitä kouluista koulujen kanssa tehdyillä sopimuksilla. Tässä kirjoituksessa olevan linkin tapana oleva sopimus kannattaa käydä lukemassa venäjää osaavien. Asiakirja on mielenkiintoinen. Toki skannatun pdf-asiakirjan saa kääntöohjelmilla käännettyä myös suomen tai englannin kielelle, jos näkee hieman vaivaa (OCR).

Venäjän valtiollisia hakkereita koulutetaan siis FSB:ssä, joka sitten laatii em. sopimuksia niiden tavanomaisen koulujen kanssa, jossa on potentiaalisia henkilöitä tietotekniikalle ja kehitettäväksi rikolliseen tietomurto- ja hakkerointitoimintaan.

Missä FSB, siellä GRU ja päinvastoin. Suomi sai hieman opetusta FSB:n todellisesta luonteesta, kun pakolaisia alkoi vyöryä itärajan yli vuosien 2015 ja 2016 vaihteessa.

****

Edellä mainituista Yhdysvaltain oikeusministeriön heinäkuussa 2016  julkaisemasta kahdestatoista tiedustelu-upseerista kolme ei toimi sotilasyksikössä 26165 vaan sotilasyksikössä 74455 (в/ч 74455). Nuo kolme henkilöä ovat Aleksandr Osadtšuk, Aleksei Potemkin ja Anatoli Kovalev.

Sotilasyksikkö 74455 on mielenkiintoinen. Sotilasyksiköstä ei löydy paljonkaan julkista tietoa.

Yksi asiakirja on Venäjän puolustusministeriön määräys nro 500 (Приказ МО ВС РФ № 500).

Mielenkiintoista määräyksessä on sotilasyksikkö 99450 (в/ч 99450) sotilasyksikön 29155 (в/ч 29155) sotilasyksikön 74455 lisäksi. Sotilasyksikkö 99450 liittyy Kirimillä käytettyihin pieniin vihreisiin ukkeleihin ja sotilasyksikkö 29155 on yhtä kuin GRU:n 161. erikoiskoulutuskeskus (161-м центром подготовки специалистов ГРУ, ГУ ГШ МО).

Murtautuessaan ulkoministeri Hillary Clintonin sähköposteihin, sotilasyksikkö 74455 käytti erityissyyttäjä Robert Muellerin mukaan Guccifer 2.0 -haittaohjelmaa.

Kenraalimajuri Andrei Avernovin (Андрей Аверьянов) johtama sotilasyksikkö 29155 on puolestaan se yksikkö, joka oli mukana Venäjän Skripalien myrkytystapauksessa Englannissa. Kyseisen GRU:n salaisen yksikön tehtäväksi on kirjattu sabotaasioperaatioiden suorittaminen Euroopassa (”секретным подразделением ГРУ для совершения диверсионных операций в Европе”).

Sotilasyksikkö 29155 GRU:n eliittiyksikkö, jonka tehtävä on siis harjoittaa epävakautta Euroopassa.

Venäjällä tietomurrot ja muut sabotaasitoiminnat näyttäisi olevan pitkälti linkitetty samoihin sotilasyksikköihin.

Nuo kolme sotilasyksikköjä ovat yksikköjä, jonka työntekijöille Venäjä on valmis maksamaan erityispalkkioita puolustusministeriön määräyksen nro 500 mukaisesti. Luonnehtisin noita kaikkia eliittiyksiköiksi, joihin kuuluvien koulutustasosta jne. pääsee käsitykseen lukemalla em. Venäjän puolustusministeriön määräyksen nro 500.

Hmm… Paljonkohan kaverit ovat saaneet extrabonusta päästessään läpi Suomen eduskuntaan, jos 26165-yksikön lisäksi mukana hakkeroinnissa on ollut myös 74455-yksikkö?

Kuten huomaatte, melko samat nimet pyörivät eri hakkerointirikoksista syytettyinä, olipa tietorikokset tehty Euroopassa tai Yhdysvalloissa. Kutakuinkin 10–20 tiedustelu-upseeria valmistelee ja suorittaa tietomurtoja länsimaihin.

Uskallan väittää, että Suomen eduskuntaan murtautuneen nimi tai murtautuneiden nimet löytyvät tästä kirjoituksesta.

****

Yhdysvaltain liittohallitus on vahvistanut, että Venäjän hallitus todella tukee venäläistä APT28-hakkeriryhmää. APT28 on siis valtion suorittamaa toimintaa.

Liittohallitus on äskettäin julkaissut haittatoiminnan ilmaisimia (indicators of compromise, IoCs) länsimaiden käyttöön estääkseen venäläisten APT28-hakkeriryhmän vakoilutoimintaa.

Myös yhdysvaltalainen tietoturvayhtiö FireEye (kotisivut) julkaisi syksyllä ilmaisen 15-sivuisen tiedusteluraportin APT28:sta, jossa käydään läpi tuota Venäjän haitta-ohjelmaa. Tiedusteluraportti on saatavissa ilmaiseksi kirjautumalla (FireEye, Russia’s APT28 Strategically Evolves its Cyber Operations).

Suomen on syytä myöntää heti aluksi, kun KRP ja Supo toteavat APT28-hakkeriryhmän olevan Suomen eduskunnan tietomurron takana, että takana on myös Venäjä valtiona. Vastatoimet on syytä mitoittaa tuon mukaan.

Vastatoimet saattavat kuitenkin tuottaa ongelmia Suomen ulkopoliittiselle johdolle. Meneekö pupu sittenkin pöksyyn, kun kyseessä on Venäjä?

Yhdysvaltalaiset tiedustelupalvelulähteet uutisoivat tämän vuoden elokuussa, että GRU:n alainen APT28 on luonut Drovorub-nimisen haittaohjelman, jota APT28 kohdistaa Linux-pohjaisiin järjestelmiin osana tietoverkkojen vakoiluoperaatiota.

Yhdysvaltain kansallinen turvallisuusvirasto (National Security Agency, NSA) ja Yhdysvaltain keskusrikospoliisi (Federal Bureau of Investigation, FBI) paljastavat venäläisen aiemmin julkistamattoman haittaohjelman Drovorubin kyberturvallisuusneuvonnassa jo elokuussa (FBI Press Releases 13.8.2020).

Tuo 45-sivuinen APT28:a ja Drovorubia koskeva asiakirja löytyy täältä. Asiakirjan otsikko on “Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware” (“Venäjän tiedustelupäähallinto GRU:n 85. erikoispalvelun keskus ottaa käyttöön aiemmin julkaisemattoman Drovorub-haittaohjelman”).

Huomatkaa, että Yhdysvallat tiedotti asiasta elokuun 13. päivä, kun hyökkäys Norjan suurkäräjille tapahtui elokuun 24. päivä. Maallikolle herää kysymys, käyttääkö suurkäräjät Linux-pohjaisia järjestelmiä ja käyttikö APT28 tietomurrossaan myös Drovorub-haittaohjelmaa?

NSA:n ja FBI:n mukaan ”tunkeutumalla uhrin laitteeseen, Drovorub mahdollistaa suoran yhteyden muodostamisen (haitallisen) kohteen ohjaaman ohjausjärjestelmän kanssa, vastaanottaa ja lähettää tiedostoja, suorittaa mielivaltaisia ​​komentoja, ohjaa verkkoliikennettä muihin verkkosolmuihin ja käyttää myös peittoa välttääkseen havaitsemista.”

Yhdysvalloissa Kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (Cybersecurity and Infrastructure Security Agency, CISA) julkaisee jatkuvalla syötöllä varoituksia kyberhyökkäyksistä, joita etenkin venäläiset tekevät (Cybersecurity Advisories & Technical Guidnce). Esimerkkinä AA20-296A-varoitus päivämäärällä 22.10.2020 (Alert (AA20-296A), Russian State-Sponsored Advanced Persistent Threat Actor Compromises U.S. Government Targets).

Toivottavasti noita luetaan Suomessa myös valtion hallinnossa sekä etenkin eduskunnassa ja toimitaan varoitusten edellyttämänä. Suomessa Likenne- ja viestintävirasto Trafikomin alainen Kyberturvallisuuskeskus (kotisivut) ei pärjää alkuunkaan Yhdysvalloista tulevalle viranomaistiedolle.

Niin, ja Suomessa on myös Teija Tiilikaisen johtama Hybridikeskus (Hybrid CoE) täysin tyhjänpäiväsenä aikaansaamattomana organisaationa, johon on sotkettu myös ulkomaita rahoittamaan.

Olisi aika ihmeellistä, jos Suomen eduskunnassa tai valtion tietohallinnossa ylipäätään ei luettaisi noita Yhdysvaltojen kyberturvallisuusneuvonnan asiakirjoja eikä ryhdyttäisi suositeltuihin toimenpiteisin.

Vai niinköhän luetaan?

Sinänsä ei ole julkista tietoa, käyttikö Venäjän APT28-hakkeriryhmä juuri uutta Drovorub-haittaohjelmaa kaiken muun ohella tietomurtoihin Suomessa ja Norjassa, jos kansanedustuslaitoksisissa on myös Linux-järjestelmiä.

Mielenkiinnolla odotan KRP:n ja Supon aikaansaamia selvityksiä, jos niitä saatetaan julkisuuteen Norjan, Saksan ja Yhdysvaltojen tapaan.

Vai niinköhän saatetaan julkisuuteen?

****

Saksan ja Suomen ymmärrän hieman kylmän sodan aikaisina sinisilmäisinä toimijoina sekä Venäjä-myönteisinä toimijoina, mutta se, että venäläiset onnistuivat murtautumaan helposti myös Norjan suurkäräjille, oli ainakin minulle yllätys. Norjalaisilla kun on tapana pitää huolta asioistaan ja turvallisuudestaan – myös tietotuvallisuudestaan.

Norjan poliisitiedustelu kirjasi tiedotteeseen selkeästi tekijän. Mielenkiinnolla odotan, uskaltavatko KRP ja Supo tehdä itsenäisesti rikostutkintaa ja miten presidentin kanslia voi puuttua tutkinnan kulkuun ja lopputulokseen, kun kyseessä on Venäjä.

Uskaltavatko KRP ja Supo kirjata esitutkintapöytäkirjaan venäläistoimijat vastaavasti kuin Norjan poliisi kirjasi. Uskalletaanko mennä pidemmälle Saksan tyyliin niin, että jopa syytekirjelmä voitaisiin toimittaa?

Norjan poliisi sai tutkinnan valmiiksi kolmessa kuukaudessa. Tuo on hyvä tavanomainen tutkinta-aika.

Suomessa sen sijaan poliisi hautoo varsinkin tällaisia Venäjään liittyviä tutkintoja vuositolkulla. Hyvä esimerkki on viestikoekeskusta ja sotilastiedustelua koskeva esitutkinta, joka on valmistunut vasta nyt puolelta osaltaan. Tutkinta alkoi jo joulukuussa 2017.

Kolme vuotta on siis ja tutkittu ja toinen puolikas esitutkinnasta on vielä kesken.

Nuo tutkintojen viruttamiset ovat Suomessa tietoista politikointia.

****

Venäläisiä valtiollisen GRU:n hakkeroijia sotilasyksiköissä 26165 ja 74455 sekä APT28-ryhmässä on nyt todettu poliisitutkinnassa syytteeseen asetettaviksi Saksassa ja Yhdysvalloissa.

Norjan poliisi on puolestaan todennut venäläisen GRU:n alaisen 85. erikoispalvelun pääkeskuksen  sotilasyksiköissä 26165 APT28-ryhmän syyllistyneen Norjan suurkäräjille elokuussa tehtyyn tietomurtoon.

Samassa yhteydessä murtauduttiin myös Suomen eduskuntaan. APT28-ryhmä lienee kalastellut ympäri Eurooppaan ja onnistuvat pääsemään Suomen ja Norjan kansanedustajalaitoksiin.

Mielenkiintoista olisi tietää, onko käytetty myös Drovorub-haittaohjelmaa, jos eduskunnassa käytetään myös Linux-käyttöjärjestelmää. Yhdysvaltojen NSA varoitti asiasta jo elokuun 21. päivänä (NSA, Drovorub Malvere 21.8.2020).

Saksassa liittopäivien tietomurron poliisitutkinta kesti viisi vuotta. Uskallan väittää, ettei tutkinnan lopputulos olisi ollut Venäjää tuomitseva ja Venäjää rikolliseksi osoitteleva, elleivät Saksan ja Venäjän välit olisi tänä ja viime vuonna huonontuneet niin kuin huonontuivat.

Joka tapauksessa tilanne on nyt sellainen, ettei Suomi voi lakaista enää Venäjän suorittamaa Suomen eduskunnan tietomurtoa maton alle, vaan Suomen on todettava Venäjän tekoset langettavasti vähintään vastaavasti kuin Norja teki.

Suomi seuraa Saksaa. Suomella ja Saksalla on samanlainen historia suhteessa Neuvostoliittoon ja Venäjään. Molemmat ovat poteneet pitkään syyllisyyttä Toisesta maailmasodasta. Saksa on nyt päivittämässä suhteitaan Venäjään eikä enää kaikkia Venäjän kolttosia lasketa läpi reagoimatta. Suomen on syytä tehdä samoin.

Presidentti Niinistön ei tule puuttua KRP:n eikä Supon toimintaan eikä rikostutkintaa saa tehdä poliittisessa ohjauksessa. Tuon vanhan linjan on nyt Suomessa muututtava kysymyksissä, kun rikostutkintaan liittyy suhteita muihin valtioihin ja ulkopoliittisia kysymyksiä. Politiikka ja rikostutkinta on pidettävä visusti erillään, vaikka kyseessä onkin Venäjä. Tuossa Suomella on vielä opiskeltavaa.

Me muistamme, kuinka vaikea asia presidentti Niinistölle oli BUK-ilmatorjuntaohjusasia neljä vuotta sitten, kun kyseessä oli Venäjä (US-blogi 25.12.2020). Asiaa ei hoidettu Suomen etujen mukaisesti ja syntyi kuva suomettuneesta Suomesta.

Suomen ulkoministeriötä vakoili samanaikaisesti kaksi eri valtiota. Suojelupoliisi sai tiedon vakoilusta alkuvuodesta 2013, kun Ruotsi informoi Suomea, että Suomen ulkoministeriön tietojärjestelmät vuotavat kuin seula ja järjestelmän sisällä on vieraita valtioita enemmän kuin Vilkkilässä kissoja.

Emme kommentoi yksittäisiä maita, koska on ollut mahdotonta saada sataprosenttista varmuutta siitä, mikä taho on ollut vastuussa vakoilusta”, ulkoministeriön valtiosihteeri Peter Stenlund lausui Helsingin Sanomissa, kun tutkinta oli valmis (HS 2.7.2014).

No joo… Eiköhän nytkin mennä samalla kaavalla, ja etsitään lainsäädännöstä kynsin hampain jokin yksittäinen sana tai lause, jonka perusteella tietomurron takana olevaa valtiota ei vain tarvitsisi nimetä.

KRP:ssä ja Supossa on syytä tutusta tarkasti noihin Yhdysvaltojen, Saksan ja Norjan rikostutkinnan pöytäkirjoihin ja tehdä itselle selväksi, mikä taso riittää syyttämiskynnykseen länsimaissa. Tutkintaa ei tarvitse keksiä itse uudelleen vaan toimia niin kuin muutkin länsimaat toimivat. Syyttämiskynnyksen rajapintaa ei muodosta tässä tapauksessa Suomen lainsäädäntö.

Vähimmäistaso on siis Norjan taso Venäjää koskevassa rikostutkinnassa. Hyvä olisi Saksan taso Venäjää koskevassa rikostutkinnassa.

Niin pitkään kuin Venäjälle annetaan länsimaissa käytännössä lupa toimia niin kuin se toimii, niin se mukaan Venäjä myös toimii.

Kirjoitus päivämäärällä 20.12.2020 ja otsikolla ”Sunburst on Venäjän laajin kyberhyökkäys koskaan Yhdysvaltoihin – Kuinka Yhdysvallat ja EU vastaavat?” löytyy täältä.

Toivottavasti tästä samasta asiasta ei tarvitsisi joka viikko kirjoitella.

Ilmoita asiaton viesti

Kiitos!

Ilmoitus asiattomasta sisällöstä on vastaanotettu