Starlink-tukiasema oli pystytetty Ladan katolle Donetskin alueella Ukrainassa helmikuussa 2023. © LISI NIESNER / Reuters / MVPhotos

Superase tussahti

Venäjä on kahden vuoden aikana tehnyt Ukrainaan satoja kyberiskuja joka kuukausi. Sodan kulkuun ne ovat vaikuttaneet tuskin lainkaan.

Ukrainan sota 7.2.2024

Teksti: Heikki Salmela

8 MIN

”Naton nopean toiminnan joukot.”

Ilmaisu kiinnittää huomiota tiedotteessa, jonka yhdysvaltalainen tietoturvayhtiö Palo Alto Networks on julkaissut joulukuussa.

Tiedote kertoo venäläisen Fighting Ursa -hakkeriryhmän verkkohyökkäyksistä, joissa se hyödynsi Microsoftin Outlook-ohjelmiston haavoittuvuutta ja sai haltuunsa käyttäjien sähköpostiviestejä.

Vuosina 2022–23 tehtyjen hyökkäysten kohteena oli ainakin kolmekymmentä organisaatiota 14 maassa. Naton nopean toiminnan joukkojen lisäksi tietomurron uhriksi joutui muun muassa puolustus- ja ulkoasianministeriöitä sekä energia- ja telekommunikaatioalan yrityksiä ja järjestöjä.

Fighting Ursa, toiselta nimeltään Fancy Bear, on tunnetuimpia Venäjän sotilastiedusteluun GRU:hun yhdistettyjä hakkeriryhmiä. Outlook-hyökkäyksissä sen uskotaan pyrkineen varastamaan sähköposteja, jotka sisältävät Ukrainan sodan kannalta arvokasta tiedustelutietoa.

Osapuolet eivät ole kommentoineet, miten tässä onnistuttiin.

Fighting Ursan arvioidaan iskeneen Outlookin haavoittuvuuteen ensimmäistä kertaa maaliskuussa 2022, noin kolme viikkoa sen jälkeen, kun Venäjä oli aloittanut suurhyökkäyksen Ukrainaan.

Jo aivan sodan alussa Venäjän kyberhyökkäys oli lamaannuttanut kansainvälisen Viasat-satelliittioperaattorin paitsi Ukrainassa myös Keski-Euroopassa, minkä seurauksena muun muassa monet saksalaiset tuulivoimalat menettivät nettiyhteytensä. Samoihin aikoihin Ukrainan rahoitussektoria kiusannut haittaohjelma levisi ainakin Latviaan ja Liettuaan.

Sittemmin venäläishakkereiden kohteeksi on joutunut laaja joukko Ukrainaa tukevien maiden hallituksia, viranomaisia, tutkimuslaitoksia, yliopistoja ja yrityksiä.

Aseina ovat olleet tietomurrot, tietojenkalastelukampanjat, palvelunestohyökkäykset ja haittaohjelmat. Palvelunestohyökkäyksessä hyökkääjät suuntaavat tietylle verkkosivustolle niin paljon verkkoliikennettä, ettei sivusto ehdi vastata ja sen toiminta heikentyy tai menee täysin jumiin.

Keinovalikoima on käytännössä sama kuin Ukrainassa, mutta iskut ovat olleet pehmeämpiä, toteaa Oulun yliopiston ja Maanpuolustuskorkeakoulun kyberturvallisuuden professori Kimmo Halunen.

”Lännessä Venäjää kiinnostaa ensisijaisesti tiedonkeruu. Esimerkiksi sähköverkkoja Venäjä ei ole yrittänyt pimentää samalla tavalla kuin Ukrainassa.”

Suomessa aggressiot näkyivät viimeksi helmikuun alkupäivinä, jolloin laaja palvelunestohyökkäysten sarja haittasi muun muassa Suomen Pankin, verkkokauppa Varustelekan ja useiden kaupunkien verkkosivujen toimintaa. Hyökkääjäksi ilmoittautui Kremliä tukeva hakkeriryhmä NoName 057(16).

Ukrainaa vastaan Venäjän kybertoiminta on ollut voimakasta. Varovaisimpienkin ukrainalaislukujen mukaan hyökkäyksiä on kahden sotavuoden aikana tehty satoja joka kuukausi.

Esimerkiksi haittaohjelmien vaikutukset näkyivät heti suurhyökkäyksen alkupäivinä. Ukrainan raja-asemilla järjestelmät lamaantuivat niin, että sotapakolaisia rekisteröivät virkailijat joutuivat turvautumaan kynään ja paperiin.

Kimmo Halusen mukaan erityisesti Venäjän valtiolliset kybertoimijat näyttivät sodan alussa pyrkineen laajasti hyökkäämään ennalta määrättyihin strategisiin kohteisiin.

Kun sota pitkittyi, valmiina olleet haittaohjelmat ja tiedossa olleet haavoittuvuudet hyödynnettiin loppuun. Sen jälkeen venäläiset alkoivat iskeä sattumanvaraisempiin kohteisiin millä kulloinkin pystyivät.

”Viimeisen puolen vuoden aikana he näyttävät jälleen keskittyneen isompiin strategisiin maaleihin. Toki perinteisiä kohteita, kuten Ukrainan energiaverkkoihin vaikuttamista, on ollut koko ajan.”

Toistaiseksi pahinta tuhoa Venäjän kyberhyökkäys teki joulukuussa 2023, jolloin haittaohjelma tuhosi Ukrainan suurimman puhelinoperaattorin Kyivstarin tietojärjestelmän. Yhtiön 24,3 miljoonaa käyttäjää menettivät puhelin- ja internetyhteytensä, ja maan ilmahälytysjärjestelmä lakkasi toimimasta joillakin alueilla, samoin osa käteisautomaateista ja kauppojen korttimaksulaitteista.

Haittaohjelma pyyhki lähes kaiken teleyhtiön tuhansilta virtuaalipalvelimilta ja tietokoneista. Tuhojen korjaamisessa kesti useita päiviä.

Kun yhteiskunnan eri järjestelmiä alettiin liittää tietoverkkoihin 1980–90-luvuilla, moni tutkija piti kyberhyökkäystä vallankumouksellisena, täydellisenä aseena.

Kyberiskujen avulla tulevaisuuden sotilasmahtien uskottiin sammuttavan vastustajan sähköverkot, tuhoavan keskeiset tietojärjestelmät ja pysäyttävän kokonaisia kansantalouksia. Fyysistä sotilaallista voimaa ei tarvitsisi käyttää eikä aineellisia tai ympäristötuhoja tulisi.

Vaikka arviot kyberaseiden tehosta muuttuivat myöhemmin maltillisemmiksi, Venäjän toiminta Ukrainassa on alittanut nekin, sanoo kybersodankäyntiin erikoistunut Mika Kerttunen. Hän työskentelee vierailevana tutkijana Saksan ulkopoliittisessa instituutissa ja dosenttina Maanpuolustuskorkeakoulussa. Vuonna 2015 hän oli auttamassa Ukrainan parlamenttia ja ministeriöitä kehittämään kyberturvallisuusstrategiaa ja -lainsäädäntöä.

Yksittäisen kyberiskun hetkellinen vaikutus kohteessa voi olla kattava, mutta Venäjän tekemien tuhansien verkkohyökkäysten vaikutus sodan kulkuun kokonaisuudessaan on silti Kerttusen mukaan ”lähellä nollaa”.

Se on ihmetyttänyt tutkijoita.

”Venäjällä ja Ukrainassa on käytössä samoja neuvostoajalta periytyviä kriittisen infrastruktuurin tietojärjestelmiä. Silti Ukrainan järjestelmät toimivat ylivoimaisesti suurimman osan ajasta niin kuin niiden on tarkoitettukin toimivan.”

”Venäläiset eivät ole saaneet edes Ukrainan junaliikennettä pysäytettyä, vaikka kyse on maalle erittäin tärkeästä järjestelmästä. Tällaisessa sodassa se olisi suorastaan oppikirjamainen kyberkohde.”

Venäjän turvallisuuspalvelun FSB:n työntekijä tutki pidätetyn hakkerin konetta tammikuussa 2022. © FSB / TASS / MVPhotos

Kerttunen on analysoinut Venäjän ja Ukrainan välisen kybersodan tapahtumia yhdessä saksalaistutkija Matthias Schulzen kanssa. Kaksikon kirjoittama artikkeli pääsi joulukuussa osaksi Naton julkaisemaa lukemistoa, johon on koottu tutkimustietoa Ukrainan sodan opetuksista.

Kerttusen ja Schulzen mukaan kybersodankäynnin tehoa heikentävät muun muassa tehokkaimpien kyberaseiden kuten haittaohjelmien kehittämisen hitaus sekä se, että ne on ohjelmoitu tarkasti tiettyä järjestelmää vastaan.

Lisäksi kyberhyökkäysten aiheuttamien järjestelmävaurioiden korjaaminen onnistuu lähes aina. Se on myös lähes aina nopeampaa kuin perinteisten aseiden tuhojen korjaaminen.

Ammattitaitoiselle ja valmiudessa olevalle puolustukselle kyberhyökkäysten torjuminen on myös helpompaa kuin esimerkiksi tykistöaseiden torjuminen. Kerttunen ja Schulze nostavat esimerkiksi ukrainalaisten huhtikuussa 2022 havaitseman Industroyer2-haittaohjelman, joka oli suunniteltu häiritsemään sähköverkkojen ohjausjärjestelmiä ja katkaisemaan sähkönjakelu.

Venäläislähtöiseksi arveltu hyökkäys epäonnistui. Ukrainan kyberpuolustus pystyi deaktivoimaan haittaohjelman ennen kuin siihen ohjelmoitu ajastin käynnistyi.

Tavanomaisilla pommituksilla pystyttiin sammuttamaan yli 40 prosenttia Ukrainan sähköverkosta. Havainto on selvä: sodassa tavanomaiset keinot ovat usein nopeampia, halvempia, tarkempia, tuloksiltaan varmempia sekä – yleensä – tuhoisampia kuin kyberoperaatiot, Kerttunen ja Schulze kirjoittavat.

Joskus pelkkä yksittäinen ohjelmistopäivitys voi tehdä tyhjäksi haittaohjelman kehitystyön, johon on voinut kulua jopa vuosia.

Toisinaan puolustautujan pelastavat päällekkäiset järjestelmät. Esimerkiksi Venäjän sodan alussa tekemä hyökkäys Viasat-satelliitteja vastaan onnistui mutta ei silti lamauttanut Ukrainan johtamisjärjestelmää, koska maalla oli muitakin viestintäkanavia käytössään.

”Kyberhyökkäysten vaikutukset ovat – onneksi – vielä hyvinkin vaatimattomia. Taivas ei ole tippunut niskaan, junat eivät ajele väärillä raiteilla eivätkä voimalat räjähtele.”
Mika Kerttunen

Ukrainan varustautuminen Venäjän kyberuhkaa vastaan alkoi vuoden 2014 Krimin miehityksen jälkeen, kun Venäjän verkkoiskut muuttuivat toistuviksi.

Tietoturvansa kehittämiseen Ukraina on saanut merkittävää tukea Euroopan unionilta ja Yhdysvalloilta sekä länsimaisilta ja oman maansa tietotekniikkayrityksiltä.

Toisin kuin muilla sodankäynnin aloilla, kybersodassa toiminta-alue eli tietoverkot ovat yksityisten yritysten omistuksessa ja valvonnassa. Yritysten tuki Ukrainalle on käytännössä ollut esimerkiksi turvallisia pilvipalveluja ja tietoja venäläisistä haittaohjelmista. Elon Musk on tarjonnut Starlink-satelliittiverkkonsa yhteydenpitoon.

Kyberturvallisuuden professorin Kimmo Halusen mukaan isojen it-yritysten ensisijainen motiivi auttaa on halu pitää järjestelmät toimintakunnossa ja turvallisena asiakkaille.

”Jos yhtiöiden järjestelmiä käytetään Ukrainan kiusaamiseen, sama menetelmä voi rikollisen käsissä toimia myös muita asiakkaita kohtaan. Siksi yrityksillä on iso intressi havaita ja paikata järjestelmissä olevat haavoittuvuudet sekä pysäyttää haittaohjelmat.”

”Toki monet yritykset näkevät Ukrainan hyväksi toimimisen arvokkaana muutenkin kuin bisnesmielessä.”

Riippuvuudessa yrityksistä piilee kuitenkin myös riskejä. Musk esimerkiksi kielsi Starlinkin käytön Krimillä syksyllä 2022, koska pelkäsi sodan kärjistymistä.

Ukrainan Venäjää vastaan tekemiin kyberhyökkäyksiin länsiapu ei juuri vaikuta, Halunen arvioi. Rintamasodan tukeminen kyberoperaatioilla on Ukrainalle yhtä vaikeaa kuin Venäjällekin.

Tutkija Mika Kerttusen mukaan nykytutkimuksessa vallitseva käsitys on, että kybertoiminnalla on eniten sotilaallista merkitystä tiedustelutiedon hankinnassa. Tämä pätee niin sodan kuin rauhankin aikana.

Alkuvuonna on uutisoitu muun muassa siitä, miten Venäjä haravoi ohjuksille maaleja hakkeroiduilla kiovalaisilla valvontakameroilla. Niillä etsittiin haavoittuvia kohtia infrastruktuurista ennen vuodenvaihteen laajoja ohjus- ja lennokki-iskuja.

”Kybertiedustelun avulla pystytään saamaan tietoa vastustajan sotamateriaaleista, joukoista ja suunnitelmista, tai esimerkiksi paikantamaan jokin tietokone tai puhelin, jonka käyttäjä voidaan sitten ’hoidella’ tavanomaisilla keinoilla.”

Miten pitäisi varautua?

Venäjän kyberhyökkäysten teho Ukrainan sodassa on ollut niin heikko, että asiantuntijat ovat pohtineet, onko maa tietoisesti jättänyt osan kyvykkyydestään käyttämättä varautuessaan mahdolliseen konfliktiin Naton kanssa.

Kybersodankäynnin tutkija Mika Kerttunen ei usko, että Venäjällä on Ukrainaa vastaan enää mitään merkittäviä, ennen sotaa kehitettyjä kyberaseita käyttämättä. Uusia haittaohjelmia ja tietomurtoreittejä se tietysti pyrkii koko ajan kehittämään.

”Venäjällä on varmasti sellaista valmista koodia ja ohjelmaa, joka on laadittu erityisesti amerikkalaisia johtamis-, energia- ynnä muita järjestelmiä vastaan. Ukrainaa vastaan niistä ei tietenkään ole hyötyä.”

Kybervarustelussa vallitsee samanlainen kilpajuoksu kuin perinteisissä asejärjestelmissä. Siksi kaikki sotilasmahdit yrittävät oppia Ukrainan sodan kyberoperaatioista.

Esimerkiksi Kiinaa varmasti kiinnostaa se, miten Venäjä kykenee taistelemaan ympäristössä, joka on läntisten yhtiöiden hallitsema.

Kerttunen uskoo, että tulevaisuudessa tietoverkko-operaatiot voivat toimia merkittävänä perinteisten aselajien vahvistajana. Kyberoperaatiot täytyy kuitenkin yhdistää nykyistä paremmin muuhun elektroniseen sodankäyntiin, informaatiovaikuttamiseen, tiedusteluun sekä vastustajan keskeisten viestintä-, johtamis- ja logistiikkapaikkojen tuhoamiseen.

Suomen kaltaisilta mailta uhkien torjunta edellyttää entistä parempaa ennakointia ja aktiivista kansainvälistä tietojenvaihtoa. Valtiovallan ja yksityisten yritysten täytyy myös tehdä yhteistyötä muun muassa kriittisen infran ja datan suojaamisessa, Kerttunen luettelee.

Lisäksi hän pyrkisi entisestään tehostamaan eri kotimaisten viranomaisten välistä tiedonkulkua ja toiminnan koordinointia.

Olisi myös tärkeää kouluttaa nykyistä enemmän osaajia. Valtion ja suomalaisyliopistojen viime vuonna käynnistynyt yhteistyö alan koulutuspaikkojen lisäämiseksi on siinä merkittävä askel.

”Kyberalalla valmius pitää olla koko ajan. Tilanne on aina päällä.”