VENÄJÄN kenties salamyhkäisin verkkovakoilu on palannut Suomeen. Sen nimi on Turla ja se on yksi vanhimmista ja monipuolisimmista verkkovakoilukampanjoista. Turla löydettiin myös Suomen ulkoministeriön verkoista vuonna 2013, jossa se oli ehtinyt lymyillä ja varastaa tietoa arviolta vuodesta 2009.
Asiasta kertoo suojelupoliisi torstaina ilmestyneessä vuosikertomuksessaan. Vuosikertomus käsittelee Supon havaintoja viime vuodelta.
YLEISELLÄ tasolla ulkomaiset tiedustelut ovat Suomessa kiinnostuneita Nato-keskustelusta, ulko- ja turvallisuuspoliittisista linjauksista, Suomen asemasta ja linjasta EU:n pakotepolitiikassa ja Itämeren alueen turvallisuustilanteesta.
Viime vuonna näiden aiheiden rinnalle nousivat myös Suomen toiminta Arktisen neuvoston puheenjohtajana, tiedustelulainsäädäntö ja sen valmistelu sekä Suomen kansainvälinen sotilasyhteistyö.
TURLAN kohteina ovat olleet Suomen valtio tai sen laitokset ja viranomaiset, yritykset sekä myös yksityishenkilöt. Turlan murtautumisyrityksiä on havaittu valtionhallinnossa, joista Supo nostaa esimerkiksi Venäjällä toimivat Suomen edustustot. Suomen valtiolla on Venäjällä neljä virallista edustustoa: lähetystö Moskovassa, konsulaatti Pietarissa ja toimipisteet Petroskoissa ja Murmanskissa.
Myös useilla suomalaisilla yrityksillä on toimipisteitä Venäjällä, ja myös taloudellinen hyöty kiinnostaa verkkovakoojia. Joskus verkkovakoilua voidaan käyttää myös esimerkiksi etulyöntiaseman saavuttamiseen yrityskauppojen yhteydessä.
”TURLA on yksi monimutkaisimmista ja kekseliäimmistä verkkovakoilun muodoista”, sanoo suojelupoliisin päällikkö Antti Pelttari.
”Yleisellä tasolla se on onnistunut. Valitettavasti.”
Pelttari korostaa, ettei ota kantaa, onko Turla onnistunut murtautumaan suomalaisiin kohteisiin, vaan kommentoi kampanjan kekseliäisyyttä.
Ainakin Suomen ulkoministeriön vakoilemisessa Turla onnistui. Esitutkinta on ollut suojelupoliisissa käynnissä jo kuusi vuotta.
Loppuuko se joskus?
”Siitä tutkinnasta meillä ei ole tällä erää mitään uutta kerrottavaa”, Pelttari sanoo.
TURLA on nimitys joukolle verkkovakoilutyökaluja ja tietoverkkojen infrastruktuuria. Sitä kutsutaan kutsujasta riippuen myös nimillä Uroburos tai Ouroburos, Waterbug tai Snake. Se on yhdistetty toistuvasti teknisen näytön perusteella Venäjän turvallisuusviranomaisiin, vuosikirjassa kerrotaan.
Useiden ulkomaisten tiedustelupalveluiden, esimerkiksi Viron ja Tšekin, tietojen mukaan Turlan takaa löytyy Venäjän turvallisuuspalvelu FSB.
Turlan uhreiksi ovat joutuneet viime vuosina muiden muassa Saksan ulkoministeriö, jonka verkkoihin vakoilijat pääsivät käsiksimurtauduttuaan ensin Brühlin kaupungin verkkoon, josta he pääsivät seuraavaksi Saksan liittovaltion tietoliikenneverkkoihin ja sieltä eteenpäin ministeriön verkkoihin.
Suojelupoliisi kuvaa vuosikirjassaan vastaavaa, monivaiheista toimintaa:
Verkkovakoilu ei välttämättä enää kohdistu suoraan kiinnostuksen kohteena olevaan organisaation, vaan sen sijaan kohdetta lähellä oleviin organisaatioihin ja henkilöihin, jotka eivät ole tietoisia tietoturvan merkityksestä.
TURLA voisi menetellä esimerkiksi näin: jos vakoilun kohteena olisivat vaikka pörssiyhtiön johtoryhmä, etsittäisiin johtoryhmän jäsenen aviopuoliso ja kohdennettaisiin vakoilu tämän yksityisiin laitteisiin. Ajatusleikissä aviopuoliso käyttäisi laitteita kotona, ja johtoryhmän jäsenen laitteisiin pyrittäisiin käsiksi saastuttamalla ensin vaikkapa perheen kodin wifi-verkko.
Jos kohteena olisi esimerkiksi ministeriö, Turla voisi ottaa tähtäimeensä ministeriöltä rahoitusta saavan maakuntatason toimijan ja pyrkiä vaikkapa yhteisten verkkojen kautta eteenpäin kohti todellista päämäärää.
Supon kybertoiminnon päällikkö Jyrki Kaipanen kertoo vuosikirjassa, että kybervakoilusta on syytä olla huolissaan, työskentelee merkittävässä tehtävässä tai pääsee käsiksi merkittävään tietoon.
”Esimerkiksi lääkärikeskuksen lääkäri tai vientiyrityksen talousasiantuntija voivat olla vakoilun kohteina, sillä heillä saattaa olla hallussaan merkittävää tietoa tai pääsy merkittävän ja salaisen tiedon äärelle”, Kaipanen sanoo vuosikirjassa.
Supon tietoon tuli viime vuoden aikana useita verkkovakoilutapauksia, joiden taustalla on todennäköisesti jokin valtiollinen toimija.
Tiedustelumielessä Suomi kiinnostaa sekä Venäjää että Kiinaa, Supo sanoo vuosikirjassaan, joten verkkovakoiluyritysten tai -onnistumisten takana on muitakin kuin Turla.
Supo kertoo vuosikirjassaan, että viime aikoina kohteena on ollut yhä useammin myös valtionhallintoon läheisesti liittyviä organisaatioita ja henkilöitä.
AIEMMIN Supo on nostanut vuosikertomuksissaan esiin toisen todennäköisesti Venäjän tiedustelun valmistaman ja ohjaileman verkkovakoilukampanjan. Vuonna 2016 suurin osa Supon havainnoista liittyi APT28 -nimiseen toimijaan. Kyseessä on sama verkkovakoilu, joka murtautui Yhdysvaltojen presidentinvaalien alla ehdokas Hillary Clintonin kampanjatoimiston verkkoihin ja järjesteli varastamansa aineiston tietovuotosivusto Wikileaksin julkaistavaksi.
APT28-kampanjan takana on Yhdysvaltojen viranomaisten mukaan Venäjän sotilastiedustelu GU (entiseltä nimeltään GRU).
Turlan, jota epäillään FSB:n käsialaksi, ei tiedetä osallistuneen varastamansa materiaalin vuotamisen julkisuuteen siten, että ne tukisivat Venäjän informaatio-operaatioita. Turlaa ei myöskään tiedetä käytetyn verkkojen lamauttamiseen, Supo huomauttaa.
TURLA on varsinainen riesa. Sitä vastaan puolustautuminen on hankalaa, sillä sen käyttäjät kehittävät ohjelmistojaan, kartoittamismenetelmiään ja lähestymistapojaan jatkuvasti.
Yksi esimerkki toimijoiden kekseliäisyydestä on se, että heidän on huomattu kierrättävän liikennettään satelliittien kautta kiinni jäämistä välttääkseen.
Alkuvuodesta 2018 Turlan havaittiin käyttävän sekä Flash playerin että pdf-tiedostot keksineen Adobe-yhtiön rakenteissa olevia puutteita vakoiluvälineiden levittämiseen. Tällaisia aiemmin tuntemattomia puutteita kutsutaan nollapäivähaavoittuvuuksiksi.
Turla on niin monimuotoinen kokonaisuus, että sen erilaisille ja vaihteleville hyökkäystyypeillekin on kehitelty omia nimiä. Esimerkiksi venäläisen tietoturvayhtiö Kasperskyn mukaan Euroopan diplomaattikohteisiin keskittyneet Turlan projektit on nimetty Carboniksi ja Mosquitoksi siinä missä Kopi Luwakiksi nimetty projekti keskittyy energiapoliittisiin toimijoihin. Projekteja on useita, ja ne poikkeavat teknisesti toisistaan.
Suomen ulkoministeriöön kohdistuneen vakoilun havaitsemisen jälkeen Turla löytyi pian Ukrainan lähetystöjen verkoista ainakin Ranskassa ja Belgiassa.
VAIKKA ulkomaiset tiedustelupalvelut käyttävät edelleen myös perinteisempiä keinoja kuten henkilötiedustelua, verkkovakoilu ei ole henkilötiedustelusta mitenkään erillinen saareke. Tällä tavoin ne yrittävät päästä ihmisten kautta käsiksi tietoon, jota ei muuten olisi saatavilla.
Lisäksi tiedustelupalvelut pyrkivät värväämään ihmisiä, joilla on suoraan tai välillisesti mahdollisuuksia vaikuttaa päätöksentekoon tai yleiseen mielipiteeseen. Tällaisia hahmoja kutsutaan mielipidevaikuttajiksi.
Kun nämä perinteisemmät, bittien maailmasta ihmisten kahvipöytiin ulottuvat tiedustelun keinot yhdistetään tekijänsä kannalta lähes riskittömiin ja melko kustannustehokkaisiin verkkovakoilukampanjoihin, saadaan aikaiseksi kokonaisuus, jossa ihmiset täydentävät teknologiaa ja toisinpäin.
Esimerkiksi verkkovakoilun kohdentamista oikeisiin laitteisiin voisi tehostaa perinteisen henkilötiedustelun keinoin esimerkiksi urkkimalla lisätietoa kohderakennuksen työpisteiden sijainneista ja laitteiden sisäisistä tunnuksista.
”Useissa tapauksissa kybervakoiluun liittyy myös henkilötiedustelua sekä avoimiin lähteisiin perustuvaa tiedustelua”, kybertoiminnon päällikkö Jyrki Kaipanen sanoo vuosikirjassa.
Turlan voidaan odottaa jatkavan toimintaansa sen tavanomaisia kohteita vastaan, sanoo Supo vuosikirjassaan.
- TiedusteluSeuraa
- InformaatiosotaSeuraa
- SuojelupoliisiSeuraa
- TeknologiaSeuraa
- TietoturvaSeuraa
- VenäjäSeuraa
- Laura HalminenSeuraa