USA julkisti tietoja kiinalaishakkereiden hyökkäyksistä – takana sama ryhmä, jota epäillään myös eduskunnan tietomurrosta
Yhdysvaltojen julkistamien tietojen mukaan Kiinaan kytkeytyvä APT31-hakkeriryhmä on iskenyt myös eurooppalaisiin poliitikkoihin. Ryhmän toiminta on keskusrikospoliisinkin syynissä.
Suomen eduskuntaan kohdistunut tietomurto voi liittyä tällä viikolla julkitulleisiin tietoihin laajasti länsimaihin kohdistuneista kyberhyökkäyksistä, tietoturva-alan asiantuntijat arvioivat.
Keskusrikospoliisi tiedotti eilen eduskuntaan vuosina 2020–2021 kohdistuneen tietomurron esitutkinnasta, jossa poliisi on kyennyt tunnistamaan yhden rikoksesta epäillyn. Poliisin mukaan epäilty kytkös APT31-hakkeriryhmään on esitutkinnan aikana vahvistunut. Ryhmä on yhdistetty Kiinan valtioon.
Alkuviikosta Yhdysvaltain oikeusministeriö julkisti laajat syytteet, jotka kohdistuvat seitsemään samaan APT31-hakkeriryhmään kytkeytyvään henkilöön. Syytteen mukaan kiinalaisia hakkereita epäillään laajoista verkkohyökkäyksistä paitsi yhdysvaltalaisiin yrityksiin ja hallintoon myös muun muassa EU:n jäsenmaiden poliitikkoja kohtaan.
Syytteen mukaan esimerkiksi Kiinaan kriittisesti suhtautuvaan parlamenttien väliseen IPAC-järjestöön (Inter-Parliamentary Alliance on China) kuuluvat EU-maiden ja Iso-Britannian poliitikot ovat olleet kiinalaishakkereiden kohteena. Suomalaisia poliitikkoja ei ole mukana järjestön toiminnassa.
Withsecure -tietoturvayrityksen tutkimusjohtaja Mikko Hyppönen pitää mahdollisena, että Yhdysvalloissa julkitulleilla tiedoilla ja eduskunnan tietomurron tutkinnalla on yhteys.
– Se on täysin mahdollista. Pidän syytteen tietoja hyvin mielenkiintoisina. Yhdysvaltain vastatiedustelu on onnistunut selvittämään ryhmän toiminnan lisäksi suoraan, keitä yksittäisiä henkilöitä Kiinassa on ollut tässä mukana, Hyppönen sanoo.
Kyberturvallisuuskeskuksen päällikkö Janne Allonen on samoilla linjoilla.
– En epäile hetkeäkään, etteikö KRP tekisi kansainvälisten kumppaneiden kanssa tiivistä yhteistyötä tässä asiassa, Allonen sanoo.
Hakkeriryhmä pyrkii keräämään tietoa valtioiden päätöksenteosta
Keskusrikospoliisi on tiedottanut omasta tutkinnastaan varsin niukasti, mutta eilisen tiedotteen mukaan KRP tekee yhteistyötä paitsi kansainvälisten toimijoiden myös Suomessa vastatiedustelusta vastaavan suojelupoliisin kanssa.
Hyppösen mukaan APT31-ryhmä kytketään suoraan Kiinan valtion turvallisuusyksikköön. Kyseessä on vakoiluun liittyvä ryhmä, joka on kerännyt tietoa sekä yrityksiltä että valtioilta eri puolilla maailmaa.
– APT31 on käyttänyt hyökkäyksiä nimenomaan tiedon keräämiseen esimerkiksi hyökkäämällä puolustusvälinevalmistajien järjestelmiin. Suomessa eduskunnan järjestelmä on aika hyvä esimerkki hyökkäyksestä, jolla pyritään keräämään valtion päätöksentekoon liittyvää tietoa, Hyppönen sanoo.
Hyppösen mukaan ryhmä tunnetaan parhaiten siitä, että se pyrkii häivyttämään hyökkäysten jäljet kierrättämällä verkkoyhteydet kotikäyttäjien reitittimien kautta. Hyökkääjät ovat siis ottaneet haltuunsa laatikon, jolla kotona jaetaan verkkoyhteydet kaikkiin kodin laitteisiin.
– Näennäisesti hyökkäys tulee jonkun ihan viattoman kotikäyttäjän kotoa, vaikka oikeasti hyökkäys tulee manner-Kiinasta, Hyppönen selittää.
Hyppösen käsityksen mukaan APT31 toimii Wuhanin kaupungista käsin. Wuhan tunnetaan myös koronaviruspandemian alkupisteenä.
Kyberturvallisuuskeskuksen Allosen mukaan Suomessa ei ole tunnistettu eduskunnan tietomurtoa koskevan tutkinnan lisäksi muita operaatioita, joihin APT31-ryhmän epäiltäisiin liittyvän, mutta mahdollisuutta ryhmän muusta toiminnasta Suomessa ei voida sulkea pois.
Hyppönen: Tietojen julkistaminen toimii hyvänä pelotteena
Kansainvälisessä mediassa on ehtinyt nousta jo äläkkää siitä, että eurooppalaisiin poliitikkoihin kohdistuvista vakoiluyrityksistä saadaan lukea Yhdysvaltojen oikeusministeriön sivuilta.
Hyppönen arvioi tämän kertovan joko siitä, että Yhdysvaltojen vastatiedustelu on paljon tehokkaampaa kuin muualla tai sitten muiden maiden tiedustelupalvelut eivät halua julkistaa omien tutkimustensa tuloksia.
Hyppösen mielestä kiinni jääneistä valtiollisista hakkereista tulisi kertoa avoimesti, vaikka esimerkiksi Venäjän tai Kiinan kaltaisten valtioiden suojeluksessa olevat epäillyt tuskin koskaan joutuvat teoistaan vastuuseen.
– Minun mielestäni tämä on hyvin tehokas tapa ilmoittaa kun joku verkkorikollinen tai valtiolliseen toimintaan liittyvä hakkeri on jäänyt kiinni. Kun nimi ja tiedot pistetään julkisuuteen tämä toimii pelotteena muille potentiaalisille hyökkääjille ja ihan konkreettisesti estää ainakin tämän yksittäisen henkilön matkustamisen oman maansa ulkopuolelle sen jälkeen, Hyppönen sanoo,.
Myös suojelupoliisi on tuonut esiin Kiinan Suomeen kohdistamaa tiedustelua.
Supon mukaan Kiina kohdistaa Suomeen henkilötiedustelua ja kybervakoilua, jonka tarkoituksena on hankkia tietoa ulkopoliittisista näkemyksistä sekä teknologisesta tuotekehityksestä.
Yhdysvaltojen Kiinalle asettamat puolijohdeteknologiaa koskevat vientirajoitteet myös lisäävät supon mukaan Kiinan tarvetta hankkia tietoa kybervakoilulla.
Alla olevassa videossa näytetään, miten Suomessa varaudutaan kyberhyökkäysten torjuntaan: