Ukrainalainen hakkeri Eugene Dokukin käy ryhmineen verkkosotaa Itä-Ukrainan separatisteja ja Venäjää vastaan. Hän tietää vastustajansa olevan ylivoimainen, sillä Venäjän verkkovakoojat ovat onnistuneet kaatamaan Ukrainassa jopa sähköverkon. Yle matkusti Ukrainaan nähdäkseen, millaista sotaa Venäjä ja Ukraina käyvät verkkorintamalla.

Tunkkaisen huoneen ikkunaa ei liene avattu pariin vuoteen. Eugene Dokukin istuu tietokoneensa ääressä ja puhuu hengästyttävään tahtiin hakkeriryhmänsä saavutuksista.

He varastavat tietoja Venäjän sisäministeriöstä ja Venäjä-mielisen, niin kutsutun Donetskin kansantasavallan palvelimilta. He vakoilevat kaapattujen valvontakameroiden avulla kapinallistaistelijoiden ja Venäjän joukkojen liikkeitä Itä-Ukrainassa ja Krimillä. He tunkeutuvat separatistien some-tileille ja pysäyttävät näiden maksuliikennettä.

Näitä kansallismielisiä kyberhyökkäyksiä johdetaan ränsistyneestä neuvostoaikaisesta kerrostalosta Ukrainan pääkaupungissa Kiovassa.

Tavallisesti tietomurtoja tekevät hakkerit välttelevät julkisuutta ja esiintyvät vertaistensakin parissa vain nimimerkillään.

Ukrainalainen Dokukin on valinnut toisin. Hän on johtanut kaksi vuotta Ukrainian Cyber Forces -ryhmää, joka iskee verkossa Itä-Ukrainan separatisteja ja Venäjää vastaan. Dokukin katsoo, että hän käy joukkoineen oikeutettua kybertaistelua maahan tunkeutujaa vastaan.

Myös vastapuoli, eli Venäjä-mieliset hakkerit Itä-Ukrainassa ja Venäjällä, ovat aktiivisia kyberrintamalla. Tietoturvatutkijat ovat saaneet runsaasti näyttöä Venäjän tukemien hakkereiden toteuttamista verkko-operaatioista kahden viime vuoden ajalta.

Venäjä valloitti Krimin keväällä 2014 ja sekaantui aseellisesti Itä-Ukrainan konfliktiin.

Dokukin sanoo, että aloittaessaan aktivisminsa verkossa hän tiesi joutuvansa Venäjä-mielisten silmätikuksi, mutta päätti ottaa riskin.

– He yrittävät iskeä kimppuuni kellon ympäri. Salasanojani yritetään varastaa jatkuvasti. Minun ja muiden aktivistien henkilötietoja ja osoitteita julkaistaan netissä. Trollit mustamaalaavat meitä. Painostus on psykologista: Varo meitä. Tulemme tappamaan sinut. Olen saanut satoja tällaisia viestejä.

Varo meitä. Voimme tappaa sinut. Olen saanut satoja tällaisia viestejä.

Uhkauksista huolimatta Dokukin ei myönnä pelkäävänsä henkensä puolesta.

Ison osan työpanoksestaan ryhmä käyttää Venäjän tukemien kapinallisten viesti- ja maksuliikenteen sabotointiin. Käytännössä tavoitteena on mahdollisimman monien verkkosivujen, some-tilien ja pankkitilien käytön estäminen.

Dokukin sanoo, että suuri osa ryhmän toimista on laillisia, eli niiden tekemiseen ei tarvita murtautumista tietojärjestelmiin.

Ryhmä kerää tietoja separatistien yhteyksistä sotatoimiin tai yksinkertaisesti todisteita siitä, että nämä ovat rikkoneet vaikkapa PayPalin ja Twitterin käyttöehtoja. Niissä kielletään muun muassa uhkailu ja häirintä ja harhaanjohtavan tiedon antaminen palvelun tuottajalle. Kantelut palvelujen ylläpitäjille ovat lukuisissa tapauksissa johtaneet some-tilin tai maksupalvelutilin sulkemiseen.

– Vuoden 2014 ja tämän vuoden helmikuun välillä blokkasimme yli 300 tiliä eri maksujärjestelmissä ja pankeissa. Tämä tarkoittaa ainakin 12 miljoonan dollarin pysäyttämistä, Dokukin laskee.

Lukujen todistaminen oikeiksi tai vääriksi on vaikeaa, mutta joka tapauksessa Dokukinin ryhmä näyttää näkevän vaivaa nimenomaan tilien sulkemiseksi.

Läheskään aina valitukset some- ja rahanvälityspalveluihin eivät mene läpi. Erityisesti PayPal on kuulemma nihkeä ottamaan huomioon ukrainalaisryhmän valituksia, mutta eräs venäläinen maksuja välittävä yritys on Dokukinin mukaan sulkenut lukuisia tilejä.

Toki samaa keinoa käyttää myös vastapuoli. Dokukin puolustaa Ukrainan hallintoa, kun taas esimerkiksi Cyber Berkutiksi itsensä nimennyt hakkeriryhmä vastustaa sitä ja tukee Venäjän toimia Itä-Ukrainassa.

Yksi verkkosodan aseista on siis varsin arkinen, eikä juuri vaadi tietoteknistä osaamista. Toki Dokukinin ryhmä käyttää myös kovempia keinoja. Jos vaikkapa verkkosivun sulkeminen ei onnistu valittamalla sivun ylläpitäjälle, ryhmä tekee tietomurtoja.

Kaapatuilla turvakameroilla vakoillaan kapinallisia

Itä-Ukrainan rintamalla taistellaan päivittäin Minskin aseleposopimuksesta huolimatta. Kiovassa aseiden jyly ei kuulu, mutta hyökkäykset verkossa ovat kiivaita.

– Sodassa käytämme sodan keinoja. Murtaudumme sivustolle ja saamme sen nurin. Joskus laitamme sivuille näkyviin bannerin "Stop Russian Aggression", sanoo Dokukin ja näyttää esimerkkejä ryhmänsä kaatamista sivustoista.

Dokukinin ryhmä murtautuu some-tileille myös tietojen keräämiseksi. Kohteiden – Dokukinin termeillä terroristien – viestintää voidaan seurata pitkänkin aikaa.

– Saamme käyttäjän tietämättä haluamamme tiedot ja luovutamme ne Ukrainan turvallisuuspalvelulle SBU:lle.

Dokukin sanoo, että ei ole saanut Ukrainan valtion rahoitusta toimintaansa, vaikka arvioi antamiensa tietojen johtaneen monien henkilöiden pidätyksiin.

Ukrainian Cyber Forces käyttää paljon aikaa myös siihen, että se tunkeutuu Itä-Ukrainassa, Krimillä ja Venäjällä oleviin valvontakameroihin ja seuraa sotilaiden ja sotilaskaluston liikuttelua Itä-Ukrainassa ja Krimillä.

Venäjä ei ole myöntänyt, että sillä olisi joukkoja Ukrainassa, vaikka venäläisten sotilaiden läsnäolosta on julkaistu lukuisia todisteita. Dokukin hakee tietokoneeltaan videoklipin, jossa kolme sotilaspukuista miestä on parfyymiostoksilla Luhanskissa keskellä sotaa vuonna 2014.

– Materiaali on Itä-Ukrainasta separatistialueella olevasta kamerasta. Miesten ulkonäöstä, aksentista ja sotilaan baretista näkee selvästi, että he ovat venäläisiä. Ehkä he ostavat parfyymia tyttöystävilleen tai ehkä he tarvitsevat sitä itse. Terroristitkin tarvitsevat parfyymeja, hän nauraa.

Videomateriaalissa Dokukin kiinnittää huomiota myös siihen, että köyhillä Itä-Ukrainan alueilla tietyt sotilaat näyttävät asioivan päivästä toiseen kultakaupoissa ja käyttävän paljon rahaa. Hän väittää, että tämä kertoo separatistien saamasta rahoituksesta.

"Jaan päivittäin sanktioita Venäjälle"

Some-tilien hakkerointi ei ole kovin vaativaa. Samoin valvontakameroiden kuvavirran nappaaminen onnistuu asiansa osaavalta henkilöltä nopeasti. Dokukinin ryhmä on kuitenkin onnistunut myös vaativammissa tietomurroista.

Erityisen ylpeä hän on tietojen varastamisesta Venäjän ja Itä-Ukrainan separatistien hallinnoilta.

– Paljastimme satojen gigatavujen edestä dataa Venäjän sisäministeriön murretuilta palvelimilta. Murtauduimme myös Donetskin kansantasavallan palvelimille, josta veimme suuren määrän separatistien luottamuksellisia tietoja, hän sanoo.

Dokukin näyttää asiakirjaa, joka hänen mukaansa kertoo isojen palkkioiden maksusta Donetskin kansantasavallan parlamentin kansanedustajille. Hänellä on näyttää myös pitkä lista separatistien henkilötietoja kuvineen ja osoitteineen.

Hakkeri uskoo, että jokainen pienikin isku verkossa on kapula Venäjän tukemien kapinallisten rattaisiin.

– Palvelun pystyyn laittaminen yhä uudestaan maksaa rahaa. USA ja EU langettavat talouspakotteita vain kerran vuodessa, mutta minä jakelen sanktioita joka päivä.

Mieheltä on pakko kysyä vielä toistamiseen, eikö hän todellakaan pelkää henkensä puolesta kaiken tekemänsä ja saamiensa tappouhkausten jälkeen.

– Jos he olisivat halunneet tappaa minut, he olisivat tehneet sen jo kaksi vuotta sitten. Eikä se käy niin helposti kuin Venäjällä, jossa Putin voi lähettää tappajan opposition edustajan luokse, eikä kukaan tutki asiaa.

Dokukinin ryhmä eittämättä tekee kaikkensa haitatakseen separatistien ja Venäjän toimintaa. Hän myöntää kuitenkin, että vastapuoli – siis Venäjän verkkovakoojat – ovat ylivoimaisesti resursoituja.

Hän on esimerkiksi täysin varma, että vastapuolen haktivistit saavat suoraa tukea Venäjän valtiolta, ja että Venäjä toteutti kyberhyökkäyksen, joka kaatoi osan Ukrainan sähköverkosta.

– Kellään muulla ei ole sellaisia resursseja, hän perustelee.

Dokukinia kuunnellessa on pakko huomioida, että hän – kaikesta asiantuntemuksestaan huolimatta – on myös ihminen, joka on osallinen konfliktissa. Hän on poliittisesti motivoitunut aktivistihakkeri eli haktivisti. Siksi arvioita vastustajan toimista on kysyttävä muualta, eli iskuja tutkivilta tietoturva-asiantuntijoilta.

Vastapuolen hakkerit ylivoimaisia

Venäjän verkkovakoojat Ukrainassa Yhdestä aktiivisimmasta venäläisestä verkkovakoiluryhmästä Ukrainassa käytetään nimiä Sofacy, APT28 tai Sednit sen käyttämien haittaohjelmien mukaan. Ryhmää on tutkinut aktiivisesti japanilainen Trend Micro, joka käyttää ryhmän verkkohyökkäyskampanjasta nimeä Pawn Storm.

Tietoturvayritysten mukaan ryhmä käyttää tietoja varastavia haittaohjelmia ja räätälöi huijaussähköposteja käyttäjäkohtaisesti.

Tietoturvayritys Trend Micron mukaan Pawn Storm/Sofacy ryhmän taustalla on Venäjän valtio. Myös Saksan tiedustelupalvelu on vahvistanut taustan.

Trend Micron mukaan ryhmä on iskenyt sotilasorganisaatioihin, lähetystöihin ja asevoimien kumppaniyrityksiin Yhdysvalloissa ja sen liittolaismaissa. Eniten ryhmän hyökkäyksiä on Ukrainassa.

Trend Micro on raportoinut ryhmän vakoilleen Venäjällä oppositioryhmiä ja toisinajattelijoita.

Tietoturvatutkijat arvioivat Pawn Stormin ja Ukrainan hallintoa vastustavan hakkeriryhmän Cyber Berkutin tehneen yhteistyötä.

Cyber Berkut on toistuvasti iskenyt Ukrainan hallintoa vastaan tietomurroilla

Muita Ukrainassa havaittuja verkkovakoiluryhmiä ovat ainakin Turla/Uroburos ja Dukes. Turla tunnetaan satojen valtiollisten kohteiden vakoilusta, ja erinomaisista taidoistaan vakoilun jälkien peittämisessä. Lähde: Trend Micro- ja Kaspersky-tietoturvayhtiöiden raportit

Haktivisteja on tietenkin myös vastapuolella. Yksi merkittävimmistä ryhmistä on Cyber Berkut. Se vastustaa Ukrainan nykyistä hallintoa ja tukee Itä-Ukrainan liittämistä Venäjään. Sille Dokukinin kaltaiset henkilöt ovat vihollisia.

Verkkosivuillaan ja viesteissään ryhmä sanoo taistelevansa myös "läntisiä valloittajia" ja Natoa vastaan. Propagandassaan se korostaa Ukrainan nykyhallinnon sortavan Itä-Ukrainan ihmisiä, ja esittelee videoillaan Ukrainan armeijan hyökkäysten uhreiksi joutuneita siviilejä.

Nimensä ryhmä on ottanut Ukrainan sisäministeriön entiseltä erikoisjoukolta, Berkutilta. Yksikkö muistetaan kovista otteistaan Maidanin aukion mielenosoitusten taltuttamisessa ja mielenosoittajien ampumisesta helmikuussa 2014.

Cyber Berkutin Venäjä-mieliset hakkerit ylpeilevät iskuillaan ja julistavat propagandaansa esimerkiksi haltuunottamillaan some-tileillä.

Kun Ukrainan konfliktia tutkivaan Bellingcat-ryhmän kanssa yhteistyötä tehnyt venäläinen Ruslan Leviev julkaisi jutun Ukrainassa haavoittuneesta venäläissotilaasta, jota Venäjän puolustusministeri Sergei Shoigu oli käynyt tapaamassa, alkoi Cyber Berkut painostaa häntä. Hakkeriryhmä murtautui Levievin tietokoneelle ja varasti hänen henkilökohtaisia tietojaan.

– He varastivat passini tiedot, puhelinnumeroni ja kotiosoitteeni ja julkaisivat ne. Tämän jälkeen olen saanut jatkuvasti tappouhkauksia: tiedämme missä asut, tulemme huomenna, valmistaudu kuolemaasi, kertoo Leviev, joka on julkaissut muitakin tietoja venäläisjoukkojen läsnäolosta Ukrainassa.

– He varastivat myös kuvia minusta naispuolisten ystävieni kanssa ja julkaisivat ne väittäen minun tavanneen alaikäisiä tyttöjä ja raiskanneen heitä. Nuorin ystävistäni on 21, kertoo Leviev, ja sanoo jokaisen hänen lähellään olevan ihmisen joutuvan vaaraan.

Ryhmä tunkeutui myös Bellingcat-ryhmän sivuille ja jätti sinne uhkaavan propagandaviestin, jossa mustamaalattiin Levieviä sekä Bellingcatia. Bellingcatiin kuuluu vapaaehtoisia tutkijoita eri puolilta maailmaa, ja se tunnetaan erityisesti tutkimuksista, joita se on tehnyt hollantilaisen matkustajakoneen alasampumisesta Ukrainassa heinäkuussa 2014.

Ukrainan nykyhallinnon vastainen hakkeriryhmä Cyber Berkut murtautui Ukrainan konfliktia tutkivan Bellingcat-ryhmän Twitter-tileille. Ryhmään kuuluva Ruslan Leviev oli julkaissut tietoja Venäläisistä sotilaista Itä-Ukrainassa, joten Cyber Berkut solvasi häntä viesteissään. Kuvakaappauksia Bellingcat-ryhmän Twitter-tileiltä. Yle Uutisgrafiikka

Cyber Berkutin tähän mennessä näyttävin isku lienee kuitenkin murtautuminen Ukrainan presidentinvaalien ääntenlaskussa käytettyyn järjestelmään vuonna 2014. Tietoturvatutkijat ovat selvittäneet hyökkäyksen kulun tarkoin ja julkaisseet siitä hiljattain uutta tietoa Naton kyberkeskuksen julkaisussa Cyber War in Perspective: Russian Aggression against Ukraine.

Vaalipäivänä ohjelmisto, jonka piti näyttää reaaliaikaista tietoa ääntenlaskennasta, ei toiminut 20 tuntiin.

12 minuuttia ennen vaalihuoneistojen sulkeutumista hyökkääjät laittoivat keskusvaalilautakunnan sivuille kuvan väärästä voittajasta, Ukrainan oikean sektorin johtajasta. Kuva näytettiin välittömästi venäläisillä tv-kanavilla.

Naton kyberkeskuksen raportissa päädytään siihen, että Cyber Berkutin aktivistit eivät ole toteuttaneet iskua vaalijärjestelmiinn omatoimisesti, vaan heillä on ollut käytössään tai apunaan “valtion rahoittaman tahon” verkkovakoojien osaaminen ja työkalut.

Yle on saanut muistakin tietoturvalähteistä arvioita siitä, että ryhmä on toiminut tiiviissä yhteistyössä Venäjän taitavimpien verkkovakoojien kanssa. Näyttääkin vahvasti siltä, että kyseessä ei ole vain vapaaehtoisten hakkerien ryhmä, vaan osa laajempaa valtiollisen verkkovakoilun ja hybridisodan kokonaisuutta.

Ylipäänsä tietoturvayritysten kuten Symantecin, Kasberskyn, F-Securen ja Trend Micron raporteista voi tehdä johtopäätöksen, että Venäjällä tai Venäjä-mielisillä tahoilla on ilmaherruus Ukrainan verkoissa.

Tietoturvatutkijat ovat löytäneet Ukrainan hallinnon, yritysten, armeijan ja kansalaisten tietokoneilta kehittyneitä haittaohjelmia kuten Black Energy, Turla/Uroburos, Dukes ja Sofacy/APT28/Sednit.

Ohjelmistot ovat niin edistyksellisiä, että niiden kehittäminen vaatii ohjelmistotalon resurssit.

Hyökkäysten kohteita ovat arabimaat, Nato ja Angela Merkelin puolue CDU.

Näitä hyökkäysohjelmistoja ei voi ostaa vapailta markkinoilta, eivätkä ne ole tavallisten rahaa tavoittelevien verkkorikollisten käytössä. Siksi ohjelmien tunnistaminen vaikkapa armeijan, hallituksen tai yrityksen tietokoneelta on vahva merkki siitä, että kohde on verkkovakoilun uhri.

Yle haastatteli japanilaisen Trend Micron tietoturvatutkijoita, jotka ovat tutkineet verkkovakoojien hyökkäyskampanjoita, jotka ovat olleet aktiivisia Ukrainassa. Lisäksi Yle hankki tietoa useilta muilta alan asiantuntijoilta, joista osa halusi pysyä nimettöminä.

Valtiollinen verkkovakoilu jatkunut vuosikymmenen

Todennäköisesti aktiivisin verkkohyökkäyskampanja Ukrainassa on ollut Pawn Storm. Samasta kampanjasta tai hyökkääjien ryhmästä käytetään myös myös nimiä Sofacy, APT 28 ja Sednit verkkovakoojien käyttämien haittaohjelmien mukaan.

Toisin kuin Cyber Berkut, Pawn Storm -ryhmä ei esittele hyökkäystensä tuloksia julkisesti. Tietoturva-ammattilaiset pitävät ryhmää osana Venäjän valtiollista tiedustelua. Ryhmän ensimmäiset iskut on jäljitetty vuoteen 2004.

Angela Merkelin puolue CDU joutui venäläisen verkkovakoojaryhmän hyökkäyksen kohteeksi huhtikuussa 2016. Michael Kappeler / EPA

Verkkovakoojat ovat iskeneet Ukrainan hallinnon, asevoimien, yritysten ja poliitikkojen tietokoneille. Ukrainan ulkopuolella kohteena ovat olleet Nato, Yhdysvallat, ja useat Euroopan maat. Venäjällä ryhmä on puolestaan vakoillut Putinin hallinnon vastustajia, aktivisteja sekä tiedotusvälineitä. Hyökkäyksistä on raportoitu Trend Micron ja muiden tietoturvayhtiöiden julkaisemissa raporteissa.

Viime vuosina iskuja on havaittu myös muualla. Kun arabimaat arvostelivat Venäjän iskuja Syyriaan viime vuonna, verkkovakoojat iskivät kriitikkomaihin ja maanpaossa olevien syyrialaisten oppositiopoliitikkojen koneille. Viime vuonna ryhmä hyökkäsi Saksan parlamenttiin ja tänä keväänä uhreiksi joutuivat turkkilaiset tiedotusvälineet.

Uusin löydös on huhtikuulta: verkkovakoojat ottivat kohteekseen Saksan liittokanslerin Angela Merkelin puolueen kristillisdemokaraatit.

Saksan tiedustelupalvelu vahvisti toukokuussa uutistoimisto Reutersille, että Sofacy/Pawn Storm iski vuosi sitten Saksan parlamenttiin. Tiedustelupalvelu syytti iskusta Venäjää.

Myös venäläisten toisinajattelijoiden vakoilu on jatkunut aktiivisesti tänä keväänä, kertoo hyökkäyskampanjaan erikoistunut vanhempi tietoturvatutkija Feike Hacquebord. Hän ei anna julkaista kuvaansa, mutta kertoo uusimmista analyyseistään Ylelle antamassaan haastattelussa.

– On selvää, että Pawn Storm valitsee kohteita, jotka voidaan kokea uhkaksi Venäjän politiikalle ja intresseille. Tekijöillä on suuret resurssit ja he hyökkäävät tiheään tahtiin, hän sanoo.

Venäjän entinen pääministeri vakoilun kohteena

Hacquebord sanoo, että uhrilta on monissa tapauksissa varastettu hänen sähköpostinsa ja lisäksi varmistettu, että postit välittyvät jatkossakin vakoilijoille.

Näyttää ilmeiseltä, että nimenomaan Pawn Stormin kaltaisilla verkkovakoiluryhmillä on merkittävä rooli Venäjän hybridisodassa: vakoojat hankkivat tietoa, jota maa voi hyödyntää politiikassaan.

Hacquebord sanoo Trend Micron tutkineen myös sitä, voisiko Pawn Stormin takana olla jokin muu taho kuin Venäjä. Onko kohteina muitakin kuin Venäjän vastustajia?

– Huomasimme, että esimerkiksi Venäjän sotilasattasea Natossa on ollut hyökkäyksen kohteena, samoin Putinin hallinnolle myötämielisiä tiedotusvälineitä. Jopa kuuluisa entinen pääministeri oli kohde sekä eräs duuman jäsen, joka ei ole Putinin vastustaja. Nämä löydökset eivät kuitenkaan osoita muuhun toimijaan kuin Venäjään, vaan antavat näkymää Venäjän sisäisiin vakoilukampanjoihin.

Historiallinen kyberisku katkaisi sähköt

Pitkään jatkuneen verkkovakoilun jälkeen Venäjä näyttää laajentavan verkko-operaatioita vakoilua pidemmälle, eli iskuihin joilla saadaan aikaan fyysistä vahinkoa ja haittaa myös siviiliväestölle. Ensimmäinen isku tapahtui vuoden 2015 lopulla.

Jouluaaton aattona sähköverkon hallinnasta vastaavat työntekijät Ivano-Frankivskissa Länsi-Ukrainassa hämmästyivät. He eivät pystyneet enää ohjaamaan sähköverkon toimintaa tietokoneiltaan.

He näkivät monitoreillaan, että joku ulkopuolinen liikutti osoitinta ja kytki asiantuntevasti sähköjä pois. Aavehiireksi nimetty ohjelma oli vain yksi työkalu hyökkääjien pakissa.

Kyberisku aiheutti sähkökatkon yli 200 000 ihmislle Länsi Ukrainassa joulukuussa 2016. Roman Pilipey / EPA

Hyökkäyksen valmistelu oli aloitettu ainakin kuukausia aiemmin salasanojen kalastelulla, minkä jälkeen hyökkääjät olivat pystyneet tunkeutumaan sähköverkkoa ohjaaviin järjestelmiin.

Hyökkääjien taidot olivat poikkeukselliset. Sen lisäksi että he osasivat toteuttaa monivaiheisen tunkeutumisen tietojärjestelmiin, he osasivat käyttää sähköverkkoa. 225 000 ihmisen sähköt eivät sammu yhdestä napista, mutta he tiesivät tarkalleen mitä tehdä.

Sähkön katkeamiseen tuskastuneet kansalaiset yrittivät ilmoittaa viasta, mutta soitot eivät menneet läpi. Hakkereiden toteuttama palvelunestohyökkäys – käytännössä keinotekoisesti synnytetty jono puhelinpalveluun – esti verkkoyhtiötä näkemästä ongelman laajuutta. Kesti useita tunteja ennen kuin sähköyhtiön työntekijät onnistuivat palauttamaan sähköt.

Tietojärjestelmät eivät kuitenkaan toimineet, sillä kovalevyjä ylikirjoittava KillDisk-ohjelma oli pilannut ohjelmistot. Maailman ensimmäinen siviiliväestöön kohdistunut kyberisku oli onnistunut.

Hyökkäys uutisoitiin maailmanlaajuisesti tammikuussa. Alkoi kuumeinen työ sen selvittämiseksi, kuka oli tehnyt iskut ja miksi. Yle haastatteli kevään aikana useita hyökkäykseen perehtyneitä asiantuntijoita iskun taustojen selvittämiseksi.

Haittaohjelma venäläistä työtä

Hyökkäystä tutkineet yhdysvaltalaiset tietoturva-asiantuntijat toteavat, että hyökkäyksen hienostuneisuus ja motiivi kertovat siitä, että taustalla on hyvin järjestäytynyt ja resursoitu toimija. Lisäksi tutkijat tuntevat tarkoin, millaisia hyökkäystekniikoita ja haittaohjelmia hyökkääjät käyttivät.

Voimalahyökkäyksessä tärkeässä roolissa oli BlackEnergy3-haittaohjelma ja sen kovalevyjä tuhoava lisäosa KillDisk. Myös ne kuuluvat nimenomaan tiettyjen venäläisten verkkovakoilijoiden työkalupakkiin.

Japanilaisen tietoturvayrityksen vanhempi tutkija Kyle Wilhoiti sanoo, että sataprosenttista varmuutta hyökkääjän taustasta on mahdotonta saada, mutta moni seikka viittaa Venäjään.

– Hyökkääjien käyttäytymisen, käytetyn BlackEnergy-ohjelmiston ja hyökkäyskohteen perusteella hyökkääjät olivat tässä tapauksessa Venäjältä. Itse asiassa koko BlackEnergyn vuosia kehitetty koodi on venäläistä alkuperää, hän sanoo.

Wilhoit on tutkinut useita vuosia nimenomaan teollisuuden ohjausjärjestelmiin tehtyjä verkkohyökkäyksiä. Hän arvioi, että samalla haittaohjelmalla on hyökätty Ukrainassa myös rautatieyhtiötä ja kaivosyhtiötä vastaan. Lisäksi Ukrainan tietoturvaviranomainen Cert.ua on raportoinut, että samat haittaohjelmat on löydetty Kiovan lentokentän tietokoneilta.

Näissä kohteissa tunkeutumiset ovat kuitenkin jääneet tiedustelun asteelle. Hyökkääjät eivät ole onnistuneet aiheuttamaan tai halunneet aiheuttaa fyysistä tuhoa. Tuntien sähkökatko on melko laiha tulos valtavan kalliille ja lukuisia huippuosaajia sitoneelle kyberiskulle.

Wilhoit pitää kuitenkin tunkeutumisia äärimmäisen vakavina. Hän arvioi, että kyseessä on voinut olla kriittisiin kohteisiin kohdistuvan iskun valmistelu.

– Hyökkääjät olisivat voineet saada maan kriittisen infrastruktuurin hallintaansa. He olisivat voineet saada rautatiet pysähtymään, estää kaivosyhtiötä toimimasta ja pysäyttää lentokentän toiminnan, hän sanoo.

Tuntien sähkökatko on laiha tulos valtavan kalliille kyberiskulle. Miksi Venäjä teki sen?

Mahdollisimman ison fyysisen tuhon aikaansaaminen ei ole välttämättä ollut edes hyökkääjien tarkoitus. On hyvin mahdollista, että kallis ja vaativa hyökkäys on ollut yksinkertaisesti sotilaallista tutkimus- ja kehitystoimintaa.

Samaan tapaan kuin Venäjä on testannut uusia aseitaan Syyriassa, se on nyt tehnyt kyberaseensa koelaukaisun Ukrainassa.

Myös Ukrainan puolella temppujaan tekevä hakkeri Eugene Dokukin arvioi, että vastaavia iskuja ei nähdä kovin pian.

– Uskon, että hyökkäyksiä tulee, mutta ei näin monimutkaisia. Ennemminkin tavallisia palvelunestohyökkäyksiä ja tietomurtoja. Ja erityisesti Venäjän propagandaa, infosotaa. Se on halvempaa kuin kybersota.

Venäjällä ja Yhdysvalloilla on toki jo pitkään arvioitu olevan kyvykkyys tällaisten iskujen toteuttamiseksi; esimerkiksi iskuista veden- ja sähkönjakeluun on maalailtu uhkakuvia.

Pelotevaikutus on kuitenkin jäänyt vajaaksi, sillä valtiot eivät ole käyttäneet kaikkia kykyjään, eikä kyberaseita ole voinut esitellä voitonpäivän paraatissa Punaisella torilla.

Nyt kun länsimaiset tutkijat ovat todenneet iskun taitavasti tehdyksi, on Venäjä osoittanut, mihin se halutessaan pystyy kybersodassa. Varo meitä.

Korjaus 2.6. kello 14:21: Ruslan Leviev ei ole Bellingcat-ryhmän jäsen, vaan tehnyt yhteistyötä ryhmän kanssa.

Lisää aiheesta illan A-Studiossa kello 21.