Venäjän tiedustelupäähallinto GRU ja Suomen eduskunnan tietomurto
”Eduskuntaan kohdistettu kyberisku on vakava hyökkäys demokratiaamme ja suomalaista yhteiskuntaa kohtaan. Emme voi hyväksyä minkäänlaista vihamielistä kybertoimintaa, olipa se valtiollisen tai ei-valtiollisen tahon toteuttamaa.” (Eduskunta 28.12.2020).
Noin lausui muutama päivä sitten eduskunnan puhemies Anu Vehviläinen eduskuntaan syksyllä tehdystä tietomurrosta, joka kohdistui sähköpostitileihin.
”Hyökkäys on vakava loukkaus suomalaista demokratiaa ja yhteiskuntajärjestystä vastaan. Tärkeää, että tekijät saadaan selville.”
Noin puolestaan lausui presidentti Sauli Niinistö STT:lle, jota lainasi suomalaismedia laajasti (esim. Yle 28.12.2020, HS 28.12.2020, IL 28.12.2020, IS 28.12.2020 ja MTV3 Uutiset 28.12.2020).
Vehviläisen ja Niinistön lausunnot olivat keskenään koordinoituja ja samansisältöisiä.
Tietomurto oli havaittu eduskunnan sisäisessä teknisessä valvonnassa. Keskusrikospoliisi kertoi tiedotteessaan, että esitutkinta on aloitettu jo loppusyksystä 2020 ja KRP tutkii tapausta epäiltynä törkeänä tietomurtona ja vakoiluna (KRP 28.12.2020).
Eduskunnan sisäinen tekninen valvota? Mikä ja mitä se on? Onko kyse satunnaisesta havainnosta satunnaisessa valvonnassa vai reaaliaikaisesta havainnosta 24/7-valvonassa?
Ainakaan eduskunnan tietovalvonta ja -turvallisuus eivät ole kunnossa – ei sinne päinkään –, kuten tästä kirjoituksesta käy myöhemmin karusti ilmi.
****
”Datainnbruddet mot Stortinget er ferdig etterforsket” (PST 8.12.2020).
Vapaasti suomennettuna:
”Stortingetin tietomurto on tutkittu.”
Oheinen lainaus on Norjan poliisin turvallisuuspalvelun tiedotteesta päivämäärällä 8.12.2020.
PST (Politiets Sikkerhetstjeneste, PST) on Norjan poliisin turvallisuuspalvelu tai suomalaisittain suojelupoliisi. Stortinget on puolestaan Norjan parlamentti tai suomalaisittain Norjan suurkäräjät.
Norjan poliisin turvallisuuspalvelu sai tietää elokuussa 2020, että Norjan parlamenttiin oli tehty laaja kyberoperaatio. Stortinget ilmoitti asiasta – teki siis rikosilmoituksen – poliisille syykuun 1. päivänä ja tutkinta alkoi välittömästi. Kyberoperaation tarkaksi ajankohdaksi on kirjattu 24. elokuuta 2020.
Tuo poliisin turvallisuuspalvelun PST 8.12.2020 -tiedote kannattaa käydä lukemassa ainakin Suomen eduskunnassa hyvin huolella. Siinä on kerrattu, miten sähköpostitileihin on murtauduttu käyttäen hyväksi käyttäjänimiä ja salasanoja sekä salasanan etsinnän bruteforcing-menettelyä. Bruteforcingissa kyse on suomeksi kuta kuinkin väsytyshyökkäyksestä (esim. Infosec 20.9.2020).
Lisäksi poliisin turvallisuuspalvelun mukaan tietomurtautujat yrittivät tunkeutua Stortingetin tietokoneissa myös syvemmälle järjestelmiin (esim. Docker- ja Kubernetes-järjestelmät), mutta eivät onnistuneet pyrkimyksissään. Murtautujat onnistuivat kuitenkin pääsemään joihinkin Stortingetin tileihin ja henkilökohtaisiin tileihin hyödyntämällä epävarmoja salasanoja sekä sitä, että käyttäjät eivät olleet käyttäneet kaksivaiheista todennusta (two-factor authentication, 2FA).
Norjan poliisin turvallisuuspalvelu kertoo myös, että arkaluonteista sisältöä on purettu joistakin murretuista sähköpostitileistä. Poliisitiedotteessa soimataan melko kovin sanoin Stortingetin lepsuja tietoturvakäytäntöjä.
Norjan poliisin turvallisuuspalvelun tiedote on hyvä. Vastaavaan Suomessa KRP ja Supo eivät kykene. Niiden tiedotteet ovat yleensä yleislässyä vailla todellista sisältöä.
Suomen ja Norjan erilaisesta suhtautumisesta valtiollisten tahojen suorittamiin tietomurtoihin kertoo tiedottaminen.
Norjan kyberisku tehtiin 24.8.2020 ja poliisi alkoi tutkia rikosta julkisesti 1.9.2020. Stortingetin hallintojohtaja Marianne Andreassen tiedotti tietomurrosta samana päivänä 1.9.2020 eli vain viikko tapahtuman jälkeen (Stortinget, IT-angrep mot Stortinget 1.9.2020). Hallintojohtajaa (direktør for Stortingets administrasjon) vastannee Suomessa eduskunnan pääsihteeri.
Suomessa syksyn tietomurrosta ei olisi tiedotettu nyt joulunakaan, ellei asiasta olisi valunut vihiä ulkopuolelle ja ellei asiasta olisi alettu kysellä. Ne syyt, mitä Suomessa poliisi kertoo salassapidolle ilman tiedottamista, ei päde ainakaan Norjaan.
****
Seuraava lainaus em. norjalaisesta PST 8.12.2020-poliisitiedotteesta on mielenkiintoinen ja asian ydin:
”Etterforskningen viser at nettverksoperasjonen som Stortinget ble rammet av, er en del av en større kampanje nasjonalt og internasjonalt, som har pågått i alle fall siden 2019. Analysene viser at det er sannsynlig at operasjonen er utført av cyberaktøren som i åpne kilder omtales som APT28 og Fancy Bear. Denne aktøren knyttes til Russlands militære etterretningstjeneste GRU, mer spesifikt deres 85. hovedsenter for spesielle tjenester (GTsSS).”
Vapaasti suomennettuna:
”Rikostutkinta osoittaa, että verkko-operaatio, jonka kohteeksi Stortinget joutui, on osa laajempaa kansallisesti ja kansainvälisesti toteutettua kampanjaa, joka on jatkunut ainakin vuodesta 2019 lähtien. Tutkinta osoittaa, että on todennäköistä, että operaation toteutti kybertoimija, jota kutsutaan avoimissa lähteissä nimellä APT28 ja Fancy Bear. Tämä toimija on yhteydessä Venäjän tiedustelupäähallinto GRU:hun, tarkemmin sanottuna sen 85. erikoispalvelun keskukseen (GTsSS).”
Suomen eduskunta joutui samaan aikaan saman venäläisen valtiollisen tiedusteluorganisaation hyökkäyksen kohteeksi. Venäläiset lienee yrittäneet samaan aikaan laajemminkin samalla hyökkäyskaavalla, ja ainakin Suomen sekä Norjan kansanedustuslaitokset avautuivat heikon tietotuvan vuoksi.
KRP:ssä ja Supossa tuo Norjan poliisin turvallisuuspalvelun tiedote on syytä lukea tarkkaan ja olla yhteydessä Norjan poliisiin, jos eivät vielä ole olleet yhteydessä rikostutkinnan kansainvälisessä yhteistyössä.
Onko eurooppalaisissa länsimaissa murtoja enemmänkin Venäjän viime syksyn hyökkäyksessä, joista vielä ei ole uutisoitu?
****
Saksan liittopäivät – Bundestagin – venäläiset olivat murtaneet jo aiemmin huhti- ja toukokuussa vuonna 2015 APT28:lla ja pääosin samalla kaavalla. Saksan keskusrikospoliisi (Bundeskriminalamt, BKA) ja sisäministeriön alainen liittovaltion perustuslakisuojavirasto (Bundesamts für Verfassungsschutz, BfV) kirjasivat tutkinnassaan yhtä selvästi kuin Norjan poliisin turvallisuuspalvelu, mikä taho on tietomurron tekijä. Saksalaiset nimesivät vieläpä itse tekijähenkilön Venäjän valtiollisen tiedusteluorganisaation sisällä.
Liittovaltion syyttäjä (Der Generalbundesanwalt) antoi tämän vuoden toukokuun 5. päivänä kansainvälisen pidätysmääräyksen 29-vuotiaasta venäläisestä tiedustelu-upseeri Dmitri Badinista (Дмитрий Бадин). Miestä syytetään salaisen palvelun edustajana tietojen vakoilusta. Kaksi viikkoa kestäneen hyökkäyksen aikana Venäjälle virtasi Saksan liittopäiviltä tietoa yhteensä noin 16 gigatavua.
Saksan liittovaltion syyttäjän 50-sivuinen syytekirjelmä on vielä toistaiseksi sinetöity eikä siten julkisesti saatavissa ennen oikeuskäsittelyn alkua.
Saksalaiset rikostutkijat selvittivät, että Dmitri Badin käytti ja hallitsi 7. toukokuuta 2015 klo 13.31 ainakin yhtä erityisesti kehitettyä VSC.exe-nimistä haittaohjelmaa, jota Badin käytti päästäkseen liittopäivien salasanoihin ja tunkeutumaan vielä syvemmälle liittopäivien IT-järjestelmään. Badinin käyttämä haittaohjelma tai useampi haittaohjelma peitti siis itsensä VSC.exe-tiedostona.
KRP:ssä ja Supossa on syytä ja olla yhteydessä Saksan liittovaltion syyttäjään ja keskusrikospoliisiin, jos eivät vielä ole olleet rikostutkinnan kansainvälisessä yhteistyössä.
****
Saksa on ensimmäinen kerta, kun jokin muu maa kuin Yhdysvallat on asettanut Venäjän valtion armeijalaitoksen palveluksessa olevan henkilön syytteeseen tietomurrosta ja riittävä näyttö on katsottu olevan tietomurron suorittajasta.
Kummallista kuitenkin on, ettei kansainvälistä pidätysmääräystä näyttäisi vielä olevan toimitettu – ei eurooppalaista pidätysmääräystä eikä muutakaan Interpolin (kotisivut) kautta (Red Notices).
Pidätysmääräys lienee kuitenkin ollut vaadittu, jotta EU on voinut asettaa Venäjälle pakotteita Saksan liittopäivien tietomurrosta.
Euroopan unioni määräsi Venäjälle pakotteita 22.10.2020 osallistumisesta Saksan liittopäivien vuoden 2015 hakkerointiin (Official Journal of the European Union LI 351/1. 22.10.2020). Kesti siis viisi vuotta tapahtumasta, kun pakotteet saatiin aikaan. Pakotteet kohdistettiin kahteen GRU:n palkkalistoilla olevaan venäläiseen, jotka toimivat GRU:n 85. erityispalvelujen keskuksessa.
Toinen EU:n pakotelistalla olevasta on em. tiedustelu-upseeri Badin. Toinen on saman GRU-organisaation Igor Kostjukov (Игорь Костюков). Amiraali Kostjukov on Venäjän asevoimien pääesikunnan pääosaston päällikkö ja pääesikunnan apulaispäällikkö. Kolmas oikeustoimija EU:n pakotelistalla on itse 85. erityispalvelujen keskus.
****
Myös Yhdysvallat on etsintäkuuluuttanut ja saattanut oikeustoimien kohteeksi Dmitri Badinin kolttosistaan.
Badin on yksi niistä seitsemästä, joista Yhdysvaltain oikeusministeriö syytti kyberhyökkäyksistä jo vuonna 2018 ja jotka FBI on etsintäkuuluttanut (Wanted by the FBI 4.10.2018). Kuusi muuta etsintäkuulutettua venäläishakkeria Badinin lisäksi ovat Aleksei Morenets (Алексей Моренец), Jevgeni Serebrjakov (Евгений Серебряков), Ivan Ermakov (Иван Ермаков), Artem Malyšev (Артем Малышев), Oleg Sotnikov (Олег Сотников) ja Aleksei Minin (Алексей Минин).
Yhdysvaltalaistiedustelulähteiden mukaan Dmitri Badin oli Yhdysvaltojen demokraattisen puolueen (Democrats) tietohakkeroinnin suorittaneen ryhmän vetäjä.
Yhdysvaltain oikeusministeriö julkaisi heinäkuussa 2016 kahdentoista GRU:n tiedustelu-upseerin nimet, jotka olivat vastuussa puuttumisesta Yhdysvaltain presidentin vaaleihin 2016. Erikoisyyttäjä Robert Mueller nosti syytteet noita GRU:n tiedustelu-upseereita vastaan (The United States District Court for the District of Columbia 13.7.2016).
Kahdentoista GRU:n tiedustelu-upseerin nimet ovat Viktor Netyško (Виктор Нетыкшо), Boris Antonov (Борис Антонов), Dmitri Badin (Дмитрий Бадин), Ivan Ermakov (Иван Ермаков), Aleksei Lukašev (Алексей Лукашев), Sergei Morgatšev (Сергей Моргачев), Nikolai Kozatšek (Николай Козачек), Pavel Eršov (Павел Ершов), Artem Malyšev (Артем Малышев), Aleksandr Osadtšuk (Александр Осадчук), Aleksei Potemkin (Алексей Потемкин) ja Anatoli Kovalev (Анатолий Ковалев).
Esimerkiksi Ivan Ermakovin erillisen etsintäkuulutuksen voi käydä katsomassa täältä.
Tuo Columbian piirikunnan käräjäoikeuden asiakirja on syytä käydä lukemassa myös KRP:ssä ja Supossa varsin tarkkaan, ettei Suomen eduskuntaa koskeva rikostutkinta mene liian vaikeaksi ja aikaansaamattomaksi pyörittelyksi, jossa mukana ovat myös suomalaiset ulkopoliittiset pyörittäjät.
****
Niin Suomen ja Norjan kuin myös Saksan ja Yhdysvaltojen em. tietomurtojen takana on Venäjän tiedustelupäähallinto tai Venäjän tiedustelupalvelun pääosasto, kumpaa nimeä kukin haluaakin käyttää GRU:sta – tai ehkäpä lisäksi vielä jotain muuta nimeä (Главное разведывательное управление, ГРУ).
Eivätkä nuo neljä maata ole ainoita tahoja GRU:n listalla, joihin APT28 on tehnyt tietomurron 2010-luvun jälkipuolella.
Esimerkkeinä mainittakoon Kemiallisten aseiden kieltojärjestö (Organisation for the Prohibition of Chemical Weapons, OPCW) ja Sveitsin kemiallisten aseiden laboratorio Spiez (Labor Spiez) sekä Maailman antidopingtoimisto Wada (World Anti-Doping Agency, WADA) Lausannessa pidetyssä kokouksessa.
Kaksi Venäjän tiedustelupalvelun tiedustelu-upseeria pidätettiin keväällä 2018 Haagissa. Venäläiskaksikon tarkoitus oli vakoilla Sveitsissä sijaitsevaa Spiezin laboratoriota, jota Kemiallisten aseiden kieltojärjestö OPCW käytti Salisburyn Novitšok-myrkkyiskun tutkinnassa.
Tapauksen tutkinnan seurauksena Hollanti karkotti kahden pidätetyn lisäksi myös kaksi muuta venäläistä tiedustelu-upseeria, joiden nimet ovat Aleksei Morenets, Jevgeni Serebrjakov, Oleg Sotnikov ja Aleksei Minin.
Nuo samat nimet on kirjattu tässä kirjoituksessa kolmesti eri yhteyksissä.
Tuo pidätys aukaisi myös Saksan liittopäivien tietomurron tutkinnan. Nuo neljä tiedustelu-upseeria kuuluvat samaan sotilasyksikköön, jonka jäljempänä tässä kirjoituksessa nimeän ja käsittelen tarkemmin (sotilasyksikkö 26165).
Loppujen lopuksi Venäjällä on melko pienet piirit, jotka toimivat tietomurroissa ja muissa sabotaaseissa läntisessä Euroopassa ja Yhdysvalloissa.
****
Länsimaiselta nimeltään APT28 (tai Fancy Bear) on se venäläinen GRU:n alainen hakkeriryhmä, joka tekee tietomurtoja ympäri maailmaa. APT28-ryhmällä on ollut aiemmin myös muita nimiä, mutta nyttemmin tunnetaan parhaiten APT28- tai Fancy Bear -ryhmänä.
Käytän tässä kirjoituksessa yleisemmin APT28-nimeä (APT = Advanced Persistent Threat). Kyseessä on siis edistyneestä jatkuvasta uhkasta.
APT28:n sotilasyksikkö on 26165 (в/ч 26165) 85. erikoispalvelun pääkeskuksessa (85-й главный центр специальной службы).
Sotilasyksikön 26165 osoite löytyy mm. valtion oikeustoimijoiden rekisteristä (ФКУ Войсковая Часть 26165). Sotilasyksikkö on viety rekisteriin 29.12.2011. Fancy Bear on kuitenkin tuttu tietotekniikan ammattilaisille jo vuodesta 2004.
Neuvostoaikana 85. erikoispalvelun pääkeskuksen tehtävä oli siepattujen viestien salauksen purkaminen ja salausanalysointi GRU:n 6. osastossa (6-го управления ГРУ). Yksikkö oli viralliselta nimeltään GRU:n erikoispalvelun 85. pääkeskus (85-м главным центром специальной службы ГРУ).
GRU:ssa edellä mainittu Dmitri Badin, joka on sekä Yhdysvaltojen että Saksan poliisitutkinnoissa tietorikoksiin syylliseksi epäiltynä, nimettiin sotilasyksikössä 26165 majuri Boris Antonovin (Борис Антонов) avustajaksi. Boris Antonov oli vastuussa tämän sotilasyksikön 26165 tietokoneyksiköstä tai -ryhmästä. Badin on ilmeisesti tuon hakkeriryhmän jonkinlainen ryhmänjohtaja Antonovin alaisuudessa. Vuoteen 2018 saakka sotilasyksikköä 26165 johti Viktor Netyško (Виктор Нетыкшо).
Badin on ilmeisen pätevä työssään, jos mittarina käytetään kiinnijäämistä hakkeroinnissa. Kaveri siis touhuaa paljon, mutta jää myös kiinni paljon.
Viktor Netyško siirrettiin Robert Muellerin syytteiden noston jälkeen pois sotilasyksikön 26165 johdosta. Nyt sotilasyksikköä 26165 Netyškon jälkeen johtaa eversti Dmitri Mihailov (Дмитрий Михайлов).
****
Venäjältä löytyy melko runsaasti aineistoa, miten kybertoiminta on organisoitu, mutta en mene syvällisemmin siihen tässä yhteydessä rajoittaakseni kirjoituksen pituutta. Aineistosta voisi laatia vaikka satasivuisen esityksen, jos mennään pitkälle neuvostohistoriaan.
Yksi mielenkiintoinen yksityiskohta on se, miten Netyškon aikaan sotilasyksikköön 26165 hankittiin uusia nuoria hakkereita koulumaailmasta ja miten sopimuksia oppilaitosten kanssa laadittiin samalla kaavalla.
Ainakin jo vuonna 2014 Netyško allekirjoitti nuo koulusopimukset henkilökohtaisesti. Esimerkki sopimuksesta päivämäärällä 1.9.2017 sisältöineen löytyy täältä. Koulu, jonka kanssa sopimus on tehty, on koulu nro 1573 Moskovassa (Государственное бюджетное общеобразовательное учреждение города Москвы Школа №1573, ГБОУ Школа №1573).
Mielenkiintoista on, että sotilasyksikkö 26165 toimi Venäjän FSB:n akatemian kryptografian, viestinnän ja informatiikan instituutin (Институт криптографии, связи и информатики Академии ФСБ России, kotisivut) kanssa ja tuo FSB:n instituutti oli sopijaosapuoli koulujen kanssa.
Venäjän valtiollisia hakkereita koulutetaan siis FSB:ssä, joka sitten laatii em. sopimuksia niiden tavanomaisen koulujen kanssa, jossa on potentiaalisia henkilöitä tietotekniikalle ja kehitettäväksi rikolliseen tietomurto- ja hakkerointitoimintaan.
Missä FSB, siellä GRU ja päinvastoin. Suomi sai hieman opetusta FSB:n todellisesta luonteesta, kun pakolaisia alkoi vyöryä itärajan yli vuosien 2015 ja 2016 vaihteessa.
****
Edellä mainituista Yhdysvaltain oikeusministeriön heinäkuussa 2016 julkaisemasta kahdestatoista tiedustelu-upseerista kolme ei toimi sotilasyksikössä 26165 vaan sotilasyksikössä 74455 (в/ч 74455). Nuo kolme henkilöä ovat Aleksandr Osadtšuk, Aleksei Potemkin ja Anatoli Kovalev.
Sotilasyksikkö 74455 on mielenkiintoinen. Sotilasyksiköstä ei löydy paljonkaan julkista tietoa.
Yksi asiakirja on Venäjän puolustusministeriön määräys nro 500 (Приказ МО ВС РФ № 500).
Mielenkiintoista määräyksessä on sotilasyksikkö 99450 (в/ч 99450) sotilasyksikön 29155 (в/ч 29155) sotilasyksikön 74455 lisäksi. Sotilasyksikkö 99450 liittyy Kirimillä käytettyihin pieniin vihreisiin ukkeleihin ja sotilasyksikkö 29155 on yhtä kuin GRU:n 161. erikoiskoulutuskeskus (161-м центром подготовки специалистов ГРУ, ГУ ГШ МО).
Murtautuessaan ulkoministeri Hillary Clintonin sähköposteihin, sotilasyksikkö 74455 käytti erityissyyttäjä Robert Muellerin mukaan Guccifer 2.0 -haittaohjelmaa.
Kenraalimajuri Andrei Avernovin (Андрей Аверьянов) johtama sotilasyksikkö 29155 on puolestaan se yksikkö, joka oli mukana Venäjän Skripalien myrkytystapauksessa Englannissa. Kyseisen GRU:n salaisen yksikön tehtäväksi on kirjattu sabotaasioperaatioiden suorittaminen Euroopassa (”секретным подразделением ГРУ для совершения диверсионных операций в Европе”).
Sotilasyksikkö 29155 GRU:n eliittiyksikkö, jonka tehtävä on siis harjoittaa epävakautta Euroopassa.
Venäjällä tietomurrot ja muut sabotaasitoiminnat näyttäisi olevan pitkälti linkitetty samoihin sotilasyksikköihin.
Nuo kolme sotilasyksikköjä ovat yksikköjä, jonka työntekijöille Venäjä on valmis maksamaan erityispalkkioita puolustusministeriön määräyksen nro 500 mukaisesti. Luonnehtisin noita kaikkia eliittiyksiköiksi, joihin kuuluvien koulutustasosta jne. pääsee käsitykseen lukemalla em. Venäjän puolustusministeriön määräyksen nro 500.
Hmm… Paljonkohan kaverit ovat saaneet extrabonusta päästessään läpi Suomen eduskuntaan, jos 26165-yksikön lisäksi mukana hakkeroinnissa on ollut myös 74455-yksikkö?
Kuten huomaatte, melko samat nimet pyörivät eri hakkerointirikoksista syytettyinä, olipa tietorikokset tehty Euroopassa tai Yhdysvalloissa. Kutakuinkin 10–20 tiedustelu-upseeria valmistelee ja suorittaa tietomurtoja länsimaihin.
Uskallan väittää, että Suomen eduskuntaan murtautuneen nimi tai murtautuneiden nimet löytyvät tästä kirjoituksesta.
****
Yhdysvaltain liittohallitus on vahvistanut, että Venäjän hallitus todella tukee venäläistä APT28-hakkeriryhmää. APT28 on siis valtion suorittamaa toimintaa.
Liittohallitus on äskettäin julkaissut haittatoiminnan ilmaisimia (indicators of compromise, IoCs) länsimaiden käyttöön estääkseen venäläisten APT28-hakkeriryhmän vakoilutoimintaa.
Myös yhdysvaltalainen tietoturvayhtiö FireEye (kotisivut) julkaisi syksyllä ilmaisen 15-sivuisen tiedusteluraportin APT28:sta, jossa käydään läpi tuota Venäjän haitta-ohjelmaa. Tiedusteluraportti on saatavissa ilmaiseksi kirjautumalla (FireEye, Russia’s APT28 Strategically Evolves its Cyber Operations).
Suomen on syytä myöntää heti aluksi, kun KRP ja Supo toteavat APT28-hakkeriryhmän olevan Suomen eduskunnan tietomurron takana, että takana on myös Venäjä valtiona. Vastatoimet on syytä mitoittaa tuon mukaan.
Vastatoimet saattavat kuitenkin tuottaa ongelmia Suomen ulkopoliittiselle johdolle. Meneekö pupu sittenkin pöksyyn, kun kyseessä on Venäjä?
Yhdysvaltalaiset tiedustelupalvelulähteet uutisoivat tämän vuoden elokuussa, että GRU:n alainen APT28 on luonut Drovorub-nimisen haittaohjelman, jota APT28 kohdistaa Linux-pohjaisiin järjestelmiin osana tietoverkkojen vakoiluoperaatiota.
Yhdysvaltain kansallinen turvallisuusvirasto (National Security Agency, NSA) ja Yhdysvaltain keskusrikospoliisi (Federal Bureau of Investigation, FBI) paljastavat venäläisen aiemmin julkistamattoman haittaohjelman Drovorubin kyberturvallisuusneuvonnassa jo elokuussa (FBI Press Releases 13.8.2020).
Tuo 45-sivuinen APT28:a ja Drovorubia koskeva asiakirja löytyy täältä. Asiakirjan otsikko on “Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware” (“Venäjän tiedustelupäähallinto GRU:n 85. erikoispalvelun keskus ottaa käyttöön aiemmin julkaisemattoman Drovorub-haittaohjelman”).
Huomatkaa, että Yhdysvallat tiedotti asiasta elokuun 13. päivä, kun hyökkäys Norjan suurkäräjille tapahtui elokuun 24. päivä. Maallikolle herää kysymys, käyttääkö suurkäräjät Linux-pohjaisia järjestelmiä ja käyttikö APT28 tietomurrossaan myös Drovorub-haittaohjelmaa?
NSA:n ja FBI:n mukaan ”tunkeutumalla uhrin laitteeseen, Drovorub mahdollistaa suoran yhteyden muodostamisen (haitallisen) kohteen ohjaaman ohjausjärjestelmän kanssa, vastaanottaa ja lähettää tiedostoja, suorittaa mielivaltaisia komentoja, ohjaa verkkoliikennettä muihin verkkosolmuihin ja käyttää myös peittoa välttääkseen havaitsemista.”
Yhdysvalloissa Kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (Cybersecurity and Infrastructure Security Agency, CISA) julkaisee jatkuvalla syötöllä varoituksia kyberhyökkäyksistä, joita etenkin venäläiset tekevät (Cybersecurity Advisories & Technical Guidnce). Esimerkkinä AA20-296A-varoitus päivämäärällä 22.10.2020 (Alert (AA20-296A), Russian State-Sponsored Advanced Persistent Threat Actor Compromises U.S. Government Targets).
Toivottavasti noita luetaan Suomessa myös valtion hallinnossa sekä etenkin eduskunnassa ja toimitaan varoitusten edellyttämänä. Suomessa Likenne- ja viestintävirasto Trafikomin alainen Kyberturvallisuuskeskus (kotisivut) ei pärjää alkuunkaan Yhdysvalloista tulevalle viranomaistiedolle.
Niin, ja Suomessa on myös Teija Tiilikaisen johtama Hybridikeskus (Hybrid CoE) täysin tyhjänpäiväsenä aikaansaamattomana organisaationa, johon on sotkettu myös ulkomaita rahoittamaan.
Olisi aika ihmeellistä, jos Suomen eduskunnassa tai valtion tietohallinnossa ylipäätään ei luettaisi noita Yhdysvaltojen kyberturvallisuusneuvonnan asiakirjoja eikä ryhdyttäisi suositeltuihin toimenpiteisin.
Vai niinköhän luetaan?
Sinänsä ei ole julkista tietoa, käyttikö Venäjän APT28-hakkeriryhmä juuri uutta Drovorub-haittaohjelmaa kaiken muun ohella tietomurtoihin Suomessa ja Norjassa, jos kansanedustuslaitoksisissa on myös Linux-järjestelmiä.
Mielenkiinnolla odotan KRP:n ja Supon aikaansaamia selvityksiä, jos niitä saatetaan julkisuuteen Norjan, Saksan ja Yhdysvaltojen tapaan.
Vai niinköhän saatetaan julkisuuteen?
****
Saksan ja Suomen ymmärrän hieman kylmän sodan aikaisina sinisilmäisinä toimijoina sekä Venäjä-myönteisinä toimijoina, mutta se, että venäläiset onnistuivat murtautumaan helposti myös Norjan suurkäräjille, oli ainakin minulle yllätys. Norjalaisilla kun on tapana pitää huolta asioistaan ja turvallisuudestaan – myös tietotuvallisuudestaan.
Norjan poliisitiedustelu kirjasi tiedotteeseen selkeästi tekijän. Mielenkiinnolla odotan, uskaltavatko KRP ja Supo tehdä itsenäisesti rikostutkintaa ja miten presidentin kanslia voi puuttua tutkinnan kulkuun ja lopputulokseen, kun kyseessä on Venäjä.
Uskaltavatko KRP ja Supo kirjata esitutkintapöytäkirjaan venäläistoimijat vastaavasti kuin Norjan poliisi kirjasi. Uskalletaanko mennä pidemmälle Saksan tyyliin niin, että jopa syytekirjelmä voitaisiin toimittaa?
Norjan poliisi sai tutkinnan valmiiksi kolmessa kuukaudessa. Tuo on hyvä tavanomainen tutkinta-aika.
Suomessa sen sijaan poliisi hautoo varsinkin tällaisia Venäjään liittyviä tutkintoja vuositolkulla. Hyvä esimerkki on viestikoekeskusta ja sotilastiedustelua koskeva esitutkinta, joka on valmistunut vasta nyt puolelta osaltaan. Tutkinta alkoi jo joulukuussa 2017.
Kolme vuotta on siis ja tutkittu ja toinen puolikas esitutkinnasta on vielä kesken.
Nuo tutkintojen viruttamiset ovat Suomessa tietoista politikointia.
****
Venäläisiä valtiollisen GRU:n hakkeroijia sotilasyksiköissä 26165 ja 74455 sekä APT28-ryhmässä on nyt todettu poliisitutkinnassa syytteeseen asetettaviksi Saksassa ja Yhdysvalloissa.
Norjan poliisi on puolestaan todennut venäläisen GRU:n alaisen 85. erikoispalvelun pääkeskuksen sotilasyksiköissä 26165 APT28-ryhmän syyllistyneen Norjan suurkäräjille elokuussa tehtyyn tietomurtoon.
Samassa yhteydessä murtauduttiin myös Suomen eduskuntaan. APT28-ryhmä lienee kalastellut ympäri Eurooppaan ja onnistuvat pääsemään Suomen ja Norjan kansanedustajalaitoksiin.
Mielenkiintoista olisi tietää, onko käytetty myös Drovorub-haittaohjelmaa, jos eduskunnassa käytetään myös Linux-käyttöjärjestelmää. Yhdysvaltojen NSA varoitti asiasta jo elokuun 21. päivänä (NSA, Drovorub Malvere 21.8.2020).
Saksassa liittopäivien tietomurron poliisitutkinta kesti viisi vuotta. Uskallan väittää, ettei tutkinnan lopputulos olisi ollut Venäjää tuomitseva ja Venäjää rikolliseksi osoitteleva, elleivät Saksan ja Venäjän välit olisi tänä ja viime vuonna huonontuneet niin kuin huonontuivat.
Joka tapauksessa tilanne on nyt sellainen, ettei Suomi voi lakaista enää Venäjän suorittamaa Suomen eduskunnan tietomurtoa maton alle, vaan Suomen on todettava Venäjän tekoset langettavasti vähintään vastaavasti kuin Norja teki.
Suomi seuraa Saksaa. Suomella ja Saksalla on samanlainen historia suhteessa Neuvostoliittoon ja Venäjään. Molemmat ovat poteneet pitkään syyllisyyttä Toisesta maailmasodasta. Saksa on nyt päivittämässä suhteitaan Venäjään eikä enää kaikkia Venäjän kolttosia lasketa läpi reagoimatta. Suomen on syytä tehdä samoin.
Presidentti Niinistön ei tule puuttua KRP:n eikä Supon toimintaan eikä rikostutkintaa saa tehdä poliittisessa ohjauksessa. Tuon vanhan linjan on nyt Suomessa muututtava kysymyksissä, kun rikostutkintaan liittyy suhteita muihin valtioihin ja ulkopoliittisia kysymyksiä. Politiikka ja rikostutkinta on pidettävä visusti erillään, vaikka kyseessä onkin Venäjä. Tuossa Suomella on vielä opiskeltavaa.
Me muistamme, kuinka vaikea asia presidentti Niinistölle oli BUK-ilmatorjuntaohjusasia neljä vuotta sitten, kun kyseessä oli Venäjä (US-blogi 25.12.2020). Asiaa ei hoidettu Suomen etujen mukaisesti ja syntyi kuva suomettuneesta Suomesta.
Suomen ulkoministeriötä vakoili samanaikaisesti kaksi eri valtiota. Suojelupoliisi sai tiedon vakoilusta alkuvuodesta 2013, kun Ruotsi informoi Suomea, että Suomen ulkoministeriön tietojärjestelmät vuotavat kuin seula ja järjestelmän sisällä on vieraita valtioita enemmän kuin Vilkkilässä kissoja.
”Emme kommentoi yksittäisiä maita, koska on ollut mahdotonta saada sataprosenttista varmuutta siitä, mikä taho on ollut vastuussa vakoilusta”, ulkoministeriön valtiosihteeri Peter Stenlund lausui Helsingin Sanomissa, kun tutkinta oli valmis (HS 2.7.2014).
No joo… Eiköhän nytkin mennä samalla kaavalla, ja etsitään lainsäädännöstä kynsin hampain jokin yksittäinen sana tai lause, jonka perusteella tietomurron takana olevaa valtiota ei vain tarvitsisi nimetä.
KRP:ssä ja Supossa on syytä tutusta tarkasti noihin Yhdysvaltojen, Saksan ja Norjan rikostutkinnan pöytäkirjoihin ja tehdä itselle selväksi, mikä taso riittää syyttämiskynnykseen länsimaissa. Tutkintaa ei tarvitse keksiä itse uudelleen vaan toimia niin kuin muutkin länsimaat toimivat. Syyttämiskynnyksen rajapintaa ei muodosta tässä tapauksessa Suomen lainsäädäntö.
Vähimmäistaso on siis Norjan taso Venäjää koskevassa rikostutkinnassa. Hyvä olisi Saksan taso Venäjää koskevassa rikostutkinnassa.
Niin pitkään kuin Venäjälle annetaan länsimaissa käytännössä lupa toimia niin kuin se toimii, niin se mukaan Venäjä myös toimii.
Kirjoitus päivämäärällä 20.12.2020 ja otsikolla ”Sunburst on Venäjän laajin kyberhyökkäys koskaan Yhdysvaltoihin – Kuinka Yhdysvallat ja EU vastaavat?” löytyy täältä.
Toivottavasti tästä samasta asiasta ei tarvitsisi joka viikko kirjoitella.
Kiitos erinomaisen asiallisesta, valaisevasta kirjoituksesta.
Ilmoita asiaton viesti
Kiitos Ari todella tarpeellisesta artikkelista.
Ilmoita asiaton viesti
Kiitos!
Kyberhyökkäykselle annettu nimi ’sunburst’ kääntyy suomeksi mm. rintaneula, kuvio, kuosi, sädekimppu, kirkastuminen, auringonvalo, auringonpaiste, aurinko. Sana liittyy muistaakseni myös kaksoisagentti Oleg Gordievskin tositarinaan, muistaakseni merkityksessä rintamerkki. Osaatko Ari tai joku kommentoija kertoa, onko koodeilla jokin yhteys? Voisiko se olla tietoinen viittaus, muistutus vanhoista tms. joltakulta osapuolelta.
Ilmoita asiaton viesti
Oleg Gordievskyn kirja ”Sokea peili” on hyllyssä, mutta ei nyt käsillä enkä muista tuota viittausta, mutta voi liittyä ainakin osittain myös siihen että hyökkäys tehtiin Solarwinds:n (aurinkotuulet) ohjelmiston kautta. Sunburst:lla voidaan ehkä tarkoittaa myös auringonpurkausta tässä yhteydessä. Juuri nämä auringonpurkaukset tekevät aurinkotuulista myrskyn ja näkyvät revontulina.
Ilmoita asiaton viesti
Koodi SUNBEAM (auringonsäde) liittyy keskeisesti Gordijevskiin 2020 suomeksi ilmestyneen teoksen mukaan – Vakooja ja petturi: kylmän sodan tärkein vakoiluoperaatio. Atena, 2020, 458 s. (Ben MacIntyre: The Spy and the Traitor. The Greatest Espionage Story of the Cold War). – Suosittelen!
Muistin siis oikeansuuntaisesti: operaatio SUNBEAM (MI6/PET) ajoittuu 70-luvulle, jolloin Oleg Gordijevski teki menestyksekkään uran KGB:n vakoilijana mutta ryhtyi vuonna 1974 Tanskassa kaksoisagentiksi, joka välitti arvokasta kylmän sodan tietoa Britannian tiedustelupalvelulle. Hengenvaarallinen yhteistyö jatkui kymmenen vuoden ajan, kunnes Moskovan epäilykset heräsivät ja Gordijevski salakuljetettiin Suomen kautta Lontooseen. Hän asuu yhä turvatalossaan ympärivuorokautisessa valvonnassa, sillä Putinin Venäjä ei ole unohtanut Neuvostoliiton aikaista petosta.
https://www.eduskunta.fi/FI/naineduskuntatoimii/kirjasto/suosittelemme/Sivut/vakooja-ja-petturi.aspx
Olisikohan nimi SUNBURST jonkinlainen jälkiviite tyyliin ’maksetaan potut pottuina’ hyökkäävältä osapuolelta tai tyyliin ’kiinni jäätte’ uhriosapuolelta? Onko nimi Sunburst siis jenkkien vihamieliselle tunkeutujaoperaatiolle vai sen nimeltämainitsemattoman hyökkääjätahon itselleen valitsema? Tätäkö 1970-luvun Sunbeamia nimeltämainitsematon itänaapurimme Valtakunnanjohtaja nyt kostaa Suomellekin eduskunnan suuren tietomurron ja Viestikoelaitos-tietovuodon ym. jne. etc. kautta…
Ilmoita asiaton viesti
Gordijevskistä:
https://vapaavuoro.uusisuomi.fi/perttirampanen/kylman-sodan-tarkein-vakoiluoperaatio/
Ilmoita asiaton viesti
Tietomurrot ovat informaatiosodankäyntiä. Olisiko Suomen Puolustusvoimiin korkea aika perustaa informaatiosodan erikoisjoukot. Tehtävä olisi torjua kyberhyökkäykset ja tarvittaessa tehdä vastahyökkäyksiä.
Varmasti monet aseista kieltäytyvät saattaisivat suorittaa varusmiespalvelunsa tämänkaltaisissa tehtävissä. Uskon myös, että meillä on pätevää nuorisoa tällä alalla.
Ilmoita asiaton viesti
Tällainen joukko-osasto on jo Puolustusvoimissa olemassa (ELSO) Elektronisen sodankäynnin yksikkö. Toinen komppania toimii Riihimäellä, toinen Parolassa. Tietoa löytyy Puolustusvoimien nettisivuilta.
Tosin en ole varma koulutetaanko siellä juuri nyt kuinka paljon selvästi informaatiosodankäyntiin, mutta jatkossa ainakin luulisin niin tehtävän.
Ilmoita asiaton viesti
Toisaalta … jos joku nettiä käyttämällä pääsee jonnekin, minne hänen ei pitäisi kohteen kannalta päästä, niin eikös syy ole kohteen omassa huolimattomuudessa? Rikos on tehty vain näppäimiä näppäilemällä.
Vastaavia tietomurtoja ei tunnettu ennen 90-lukua.
Ilmoita asiaton viesti
Juha, olen samaa mieltä. Jos jättää talonsa oven auki ja joku menee sisään ja varastaa arvoesineet, syyllinen on toki varas mutta vastuu on myös talon omistajalla. Ei pidä jättää ovia auki.
Tämä kybersodankäynti menee sellaisilla alueilla, joista meillä tavallisilla tallaajilla ei ole hitustakaan tietoa. Sen verran tiedämme, että monet yhteiskunnan toiminnot ovat riippuvaisia tietojärjestelmien toimivuudesta. Jos yhteiskunnan elintärkeitä järjestelmiä pystytään häiritsemään tai peräti katkomaan, olemme pahasti pulassa. Se vastaa enemmän kuin pommituslentoa tärkeään kohteeseen,
Kysymyksessä on vakava uhka, mikä on verrattavissa sotilaalliseen maahan tunkeutumiseen. Fyysiseen uhkaan kyllä panostetaan mutta tämä kybersodankäynnin uhka on monesti suurempi uhka kuin fyysinen uhka. Koska emme näe sitä, emme kuule sitä, emmekä haista sitä, sitä uhkaa ei ole olemassa, ihan tottako????
Ilmoita asiaton viesti
Juuri näin! Tiedustelun tehtävänä on tietojen hankkiminen ja toisaalta torjua toisen osapuolen tiedustelu. Jos omiin on päästy tunkeutumaan, niin se osoittaa vain toisen etevämmyyttä ja suurempaa älykkyyttä, jolloin tietysti pitäisi hälytyskellojen soida mutta pitää murtautuminen salassa.
Valitettavasti kaikkiin ihmisen tekemiin ja ihmisen käytettäviksi tarkoitettuihin päästään murtautumaan. Voidaan toki käyttää murtamatonta salausta esimerkiksi fysikaalisen aidon kohinan avulla, mutta siihen ei voida sitten jättää aukkoja, joista käyttäjä pääsisi tietoihin käsiksi.
Ilmoita asiaton viesti
2000-luvulla viisi kertaa jaetuista yhteensä 18 Fieldsin palkinnosta neljä on mennyt venäläissyntyisille, nyt noin 50-60 vuotiaille matemaatikoille. Se kertoo vain, mikä asema matematiikalla oli Neuvostoliitossa ja mikä sillä edelleen on Venäjällä.
Siltä pohjalta on hyvä ammentaa. Myös tietotekniikan huippuosaamiseen.
Ilmoita asiaton viesti
Silmiä avaava blogi!
Toivottavasti tämän lukevat he, jotka jollain tapaa ovat vastuussa Suomen turvallisuuspolitiikasta.
Liian korkeina vaan taitavat suomettumisen jälkilaineet lyödä vielä tänäkin päivänä yhdellä sun toisella päättäjällämme kun on kyse Venäjästä.
***
Eipä noussut tämäkään Ari Pesosen ansiokas blogi ”karuselliin”, eikä näy suosituimpien listallakaan. Miksi ei Jenni Tamminen??! (Onhan se toki tärkeää esitellä oma kaulurin virkkauksensa tai pastan teko. Vai onko??)
Parhaimmat blogit löytyvät paljolti blogilistaa selaamalla, ei karusellista tai suosituimmista. Nehän ovat palstanpitäjien omia valintoja, omista mieltymyksistään.
Ilmoita asiaton viesti