- COMP.SEC.100
- 8. Haitallinen toiminta: hyökkäyksiä ja hyökkääjiä
- 8.1 Hyökkäyksiä ja hyökkääjiä
Hyökkäyksiä ja hyökkääjiä¶
Ennen internetiä monessa rikoksessa uhri ja hyökkääjä tarvitsivat fyysisen kontaktin. Teknologia on internetin myötä lisännyt hyökkääjän ulottuvuutta, kun fyysisen kontaktin tarve on poistunut. Tämä on mahdollistanut uusia tapoja tehdä rikoksia ja jopa käydä sotaa.
Verkkohyökkääjiä voidaan luokitella heidän motiiviensa perusteella. Motiivi voi perustua taloudelliseen hyötyyn, mutta se voi olla myös poliittinen tai henkilökohtainen. Muita tapoja luokitella hyökkääjiä ovat psykologiset ominaisuudet tai sosiaaliset tekijät. Tässä luvussa esitellään erilaisia hyökkäyksiä ja hyökkääjiä, heidän toimintatapojaan ja motiivejaan.
Kyberrikosten yleisiä ominaisuuksia¶
Kun puhutaan rikoksista, joissa fyysisen läsnäolon tarpeen poistuminen lisää rikollisen kykyä tavoittaa uhrinsa, puhutaan tietoverkkojen tehostamasta rikollisuudesta (cyber-enabled crime). Rikollisilla on viisi pääsyytä siirtää toimintansa verkkoon:
- Internetin kautta on helppo löytää mahdollisia uhreja ja ottaa heihin yhteyttä. Alamaailman kauppapaikoilla on esim. myynnissä sähköpostiosoitelistoja ja sosiaalisen median hakuominaisuuksia käytetään sopivien uhrien etsintään.
- Internetin käyttö rikollisiin tarkoituksiin on halpaa. Sähköpostien lähettäminen on ilmaista ja niitä voidaan lähettää valtavasti pienellä vaivalla.
- Internet myös nopeuttaa rikollista toimintaa, esim. kalasteluviestit saavuttavat uhrinsa heti, eikä tarvitse odotella fyysisen postinjaon viemää aikaa.
- Internetin kautta kansainvälisyys helpottuu, kun uhrit voivat olla mistä tahansa. Kielierot saattavat tosin olla haastavia, mutta koneen tekemät käännökset paranevat kaiken aikaa.
- Kun rikollinen operoi internetin kautta, kiinnijäämisriski pienenee. Tämä johtuu myös siitä, että verkkorikollisuus on kansainvälistä ja eri maissa lainsäädäntö on erilaista. Lisäksi kyberrikollisuus on aliraportoitua, koska uhrit eivät välttämättä tiedä, minne ilmoittaisivat, koska huijaus tuli ulkomailta. Tämän lisäksi uhrit uskovat, että esim. rahojen takaisinsaaminen on epätodennäköistä.
Tietoverkkojen mahdollistama rikollisuus (cyber-dependent crime) tarkoittaa rikoksia, jotka voidaan tehdä ainoastaan käyttämällä tietokoneita tai teknisiä laitteita. Vaikka tämäntyyppisen rikollisuuden lopullisella tavoitteella on usein yhtäläisyyksiä fyysiseen maailmaan (esim. kiristys, identiteettivarkaus, taloudellinen petos), internetin ja teknologian avulla rikolliset voivat yleensä muotoilla rikokset uudestaan esim. tekemällä niistä laajamittaisia ja organisoituja. Laajamittaisuus saattaa tarkoittaa satojatuhansia, ellei jopa miljoonia uhreja.
Ihmistenvälinen verkkohäirintä tai -rikollisuus¶
Ihmistenvälinen verkkohäirintä tai -rikollisuus voi sisältää kohdennettua väkivaltaa ja häirintää, joka on suunnattu joko lähisuhteisiin (esim. perheenjäsenet) tai tuntemattomiin. Näissä ei yleensä ole kyse järjestäytyneestä rikollisuudesta. Tämäntyyppisiä rikoksia on aina ollut olemassa, mutta internet on parantanut häiritsijöiden ja rikollisten mahdollisuuksia, koska fyysistä kontaktia ei enää välttämättä tarvita. Nämä rikokset kuuluvat tietoverkkojen tehostamiin rikoksiin.
- Verkkokiusaaminen
- Verkkokiusaaminen (cyberbullying) määritellään haitallisen materiaalin lähettämiseksi tai muuksi sosiaaliseksi aggressiivisuudeksi internetin tai muun digitaalitekniikan avulla. Vaikka verkkokiusaaminen ei aina ole laitonta, se on kuitenkin harmaalla alueella sen suhteen, mitä pidetään vahingollisena tekona tai rikoksena. Erityisesti nuorten keskuudessa kiusaaminen on siirtynyt myös verkkoon sen lisäksi, että kiusaamista tapahtuu myös “oikeassa” elämässä. Kiusaamisen dynamiikka on muuttunut, koska aikaisemmin kiusaaminen tapahtui usein koulussa ja kouluaikaan, mutta verkon kautta kiusaajat tavoittavat uhrinsa jatkuvasti. Lisäksi kiusaajat hyötyvät verkon tarjoamasta anonymiteetista. Osa verkkoalustoista myös tuhoaa viestit tietyn ajan jälkeen ja kiusaamisesta ei välttämättä jää todisteita, mikä voi rohkaista kiusaajaa entisestään.
- Doxing
- Tässä häirintämuodossa uhrin yksityisiä tietoja julkaistaan verkossa. Tämä liittyy usein laajamittaiseen häirintään, jossa arkaluonteisten tietojen julkaisemisella pyritään nolaamaan uhri tai lisäämään kierroksia häirintään. Häirintä voi ulottua myös fyysiseen maailmaan, esim. asiat tuodaan uhrin työpaikan tietoon tai julkaistaan uhrin kotiosoite. Doxing on suosittu tapa kärjistää verkkokeskustelua tai sitä voidaan käyttää myös uhrien hiljentämiseen. Esimerkki doxing-kampanjasta on GamerGate. Doxingin avulla voidaan masinoida vihakampanjoita ja hyökkäyksiä. Doxing on myös joidenkin haktivistiryhmien käyttämä tapa pitää kohteet varpaillaan.
- Cyberstalking
- Uhria vaanitaan verkon avulla, esim. sosiaalisessa mediassa. Stalkkereita on monenlaisia, toiset kyttäävät uhria myös verkon ulkopuolella, kun taas toiset keskittyvät verkkoon. Online-stalkkerit jakaantuvat siten, että osa ainoastaan seuraa uhria passiivisesti kun taas osa pyrkii vuorovaikutukseen esim. viestejä lähettelemällä.
- Sextortion
- Uhri houkutellaan seksuaaliseen tekoon kameran edessä esim. chattihuoneessa, teko nauhoitetaan ja tämän jälkeen uhria kiristetään asialla.
- Lasten saalistus
- Rikolliset etsivät lapsiuhreja esim. chateista, pelialustoilta ja sosiaalisesta mediasta. Tämän jälkeen uhrin kanssa ystävystytään, luodaan kiintymyssuhde ja lopuksi voi tapahtua seksuaalista hyväksikäyttöä joko fyysisesti tai verkon kautta (grooming). Rikoksentekijät tekeytyvät usein itsekin lapsiksi tai nuoriksi helpottaakseen luottamussuhteen syntyä. Lapsen houkutteleminen seksuaalisiin tarkoituksiin on Suomen rikoslain 20. luvun 8 b §:n mukaan rikos, josta voidaan tuomita sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Lasten saalistus voi olla myös epäsuoraa lapsipornon lataamista tai jakamista esim. Tor-verkon kautta. Tällöin uhrien kanssa ei olla välttämättä suoraan tekemisissä vaan kulutetaan toisten hyväksikäyttäjien tuottamaa materiaalia.
Tietoverkkojen tehostama järjestäytynyt rikollisuus¶
Tietoverkot tehostavat myös ammattirikollisuutta. Ammattirikolliset eivät usein toimi yksin vaan jonkin kokoisissa, enemmän tai vähemmän järjestäytyneissä rikollisorganisaatioissa. Esimerkkejä tietoverkkojen tehostamasta järjestäytyneestä rikollisuudesta ovat ennakkomaksupetokset (advance fee fraud) ja huumekauppa.
- Ennakkomaksupetos
Uhrille luvataan palkkio (esim. rahaa), mutta sen saadakseen uhrin on ensin maksettava huijarille pieni ennakkomaksu. Maksun jälkeen uhri ei yleensä enää kuule huijarista, paitsi jos kyse on ennakkomaksupetosten sarjasta, jossa uhri maksaa toistuvia ennakkomaksuja saamatta koskaan luvattua palkkiota. Näiden petosten arkkityyppi ovat nigerialaiskirjeet. Niitä on useita tyyppejä. Vuosittain ne tuottavat huijareille hurjia summia rahaa, koska kirjeitä levitetään sähköpostilla niin paljon, että aina joku haksahtaa. Myös erilaiset romanssihuijaukset kuuluvat ennakkomaksupetoksiin. Näissä uhri odottaa tapaamista ihastuksen kohteen kanssa, mutta tällä on aina jokin hyvin selitetty este saapumiselle. Uhri kuitenkin maksaa erilaisia järjestelymaksuja, jotta “rakas” joskus pääsisi tapaamaan uhria.
Ennakkomaksupetoksille on tyypillistä tarinan rakentaminen, jolla uhri houkutellan maksamaan. Tähän liittyy tekeytyminen, esim. romanssihuijarit esittävät tyypillisesti olevansa ulkomaankomennuksella olevia sotilaita. Tarina tuo uskottavuutta sille, miksi huijari ei koskaan pääse tapamaan uhria ja helpottaa tunneyhteyden rakentamista, joka usein tarvitaan siihen, että uhri on halukas maksamaan. Toisaalta on esitetty, että ensimmäiseen, massapostitettavaan kirjeeseen huijarit usein pyrkivät luomaan mahdollisimman absurdin tarinan. Tämä siksi, että tällöin ensimmäiseen viestiin vastaavat vain ne, joita todennäköisimmin saadaan huijattua ja jotka todennäköisimmin pysyvät mukana huijauksen loppuun saakka. Tämä säästää huijarilta vaivaa, koska vaikka ensimmäisten viestien massalähettäminen on halpaa, tunneyhteyden rakentaminen ja uhrin valmistelu maksamaan vaatii huijarilta jo enemmän vaivaa.
- Huumekauppa
- Tor-verkko ja kryptovaluutat ovat mahdollistaneet online-kauppapaikat, joissa asiakas voi ostaa huumeita ja tilata ne esim. kotiinkuljetuksella. Tutkimukset osoittavat, että vaikka viranomaiset usein lakkauttavat kauppapaikkoja, ne jatkavat jonkin ajan kuluttua toimintaansa yhtä menestyksekkäästi. Online-huumemarkkinat ovat aiheuttaneet mielenkiintoisen markkinailmiön, koska ne poistavat ostajan tarpeen olla vuorovaikutuksessa rikollisten kanssa fyysisesti mahdollisesti vaarallisessa ympäristössä. Maailmanlaajuiseen huumekaupan ekosysteemiin tämä ei kuitenkaan ole vaikuttanut, vaan huumeiden tuottamisesta ja lähettämisestä vastaavat edelleen vanhat suuret tekijät. Muutos näkyy ainoastaan siinä, miten paikalliset diilerit ja heidän asiakkaansa tekevät kauppoja.
Tietoverkkojen mahdollistama järjestäytynyt rikollisuus¶
Tietoverkkojen mahdollistamassa järjestäytyneessä rikollisuudessa rikolliset käyttävät monimutkaisia teknisiä järjestelmiä tavoitteidensa saavuttamiseen, käytössä on esim. bottiverkkoja. Tämä on johtanut siihen, että rikolliset ovat alkaneet erikoistua ja tehdä yhteistyötä. Monimutkaisessa kyberrikollisessa operaatiossa saattaa olla osallisena useita erikoistumisaloja, esim. jotkut hoitavat haittaohjelmien levityksen kun taas toiset pesevät rahat.
- Roskaposti
Roskaposti on osatekijä monissa kyberrikollisuuden lajissa, esim. varastetun tavaran kauppaamisessa tai varastettujen ja/tai väärennettyjen lääkkeiden myynnissä. Sähköpostia on helppo lähettää ja sen avulla tavoitetaan miljoonayleisö, joista osa on mahdollisia uhreja. Onnistunut roskapostikampanja vaatii 1) osoitteiden keräämisen, 2) viestin kirjoittamisen, 3) viestin massalähettämisen, 4) tilausten käsittelyn ja 5) reagoimisen viranomaisten toimintaan, esim. sähköpostipalvelimen haltuunottoon. Roskapostien lähetys tapahtuu nykyisin rikollisekosysteemien toimesta. Roskapostittajat voivat esim. vuokrata bottiverkkoja rikollisilta, jotka ovat erikoistuneet haittaohjelmien levittämiseen, ostaa sähköpostilistoja pimeiltä markkinoilta, ja osallistua yhteistyöohjelmiin, joissa roskapostittaja ostaa mainos-, maksu-, ja jakelupalvelut muilta rikollisilta.
Erilaiset roskapostisuodattimet ovat vähentäneet käyttäjien näkemän roskapostin määrää. Tästä huolimatta roskapostia lähetetään ja se on kannattavaa. Storm-bottiverkon tutkinta osoitti, että 469 miljoonasta bottiverkon lähettämästä roskapostiviestistä vain 0,01 % saavutti kohteensa. Heistä vain 0,005 % klikkasi sähköpostin sisältämää linkkiä, ja vielä pienempi määrä päätyi ostamaan; tässä tapauksessa vain 28 käyttäjää tavoitelluista 469 miljoonasta eli 0,0004 % kokonaismäärästä. Tästä huolimatta roskapostiohjelma pystyi tuottamaan 85 miljoonaa dollaria tuloja kolmen vuoden aikana. Avain menestykseen ovat asiakkaat, jotka kerran ostettuaan tulevat ostamaan toisenkin kerran.
- Tietojenkalastelu
- Osa roskapostista liittyy tietojenkalasteluun (phishing). Kalastelusähköpostit tyypillisesti houkuttelevat käyttäjiä luovuttamaan käyttäjätunnuksensa ja salasanansa uskottavalla sähköpostilla, joka jäljittelee jotakin käyttäjän käyttämää oikeaa palvelua. Tähän tarkoitukseen rikolliset tarvitsevat uskottavia valesivustoja. Erikoistuneet kyberrikolliset tuottavat ja myyvät ns. kalastelupaketteja (phishing kit), joilla paketin ostanut rikollinen voi pystyttää uskottavat verkkosivut kalastelua varten. Tyypillisesti näissä on myös toimintoja, jotka helpottavat sivustolle syötetyjen tunnusten keräämistä ja kirjanpitoa. Kalastelusivustojen palvelimet ovat usein kaapattuja muiden palveluiden palvelimia, jotta rikollisten ei tarvitse maksaa niistä. Kalastelusivustoille päätyneet tunnukset joko myydään eteenpäin pimeillä markkinoilla tai rikolliset hyödyntävät niitä samantien itse esim. pankkitilin tyhjentämiseen.
Verkkohuijauksien kustannuksia
Kaikesta tiedottamisesta ja kansalaisten kouluttamisesta huolimatta verkkohuijauksien aiheuttamat vuosittaiset kulut ovat valtavat, ja ne kasvavat vuosi vuodelta. Vuonna 2023 suomalaisilta huijattiin 76,9 miljoonaa euroa (Finanssiala RY), josta pankit onnistuivat estämään tai palauttamaan 32,7 miljoonaa. Kokonaistappiot olivat siis 44,2 miljoonaa euroa. Nämä tosin ovat vain pankkien tietoon tulleet huijaukset. Uhrit eivät aina ilmoita tulleensa huijatuksi, joten todelliset kustannukset ovat todennäköisesti vielä suuremmat. Syitä ilmoittamatta jättämiseen ovat mm. häpeä tai usko siitä, ettei rahoja enää saada palautettua. Tavallisella tietojen kalastelulla rikolliset kähvelsivät 12,3 miljoonaa euroa.
- Taloudelliseen hyötyyn pyrkivät haittaohjelmat
- Jäljempänä mainitaan lunnashaittaohjelmat. Niitä perinteisempi tapa pyrkiä taloudelliseen hyötyyn ohjelmallisesti on vakoilla uhrin tunnuksia ja salasanoja sivustoille, esim. pankkeihin tai muihin sopiviin palveluihin. Kaapatut tunnukset lähetetään rikollisten palvelimille ja rikolliset hyödyntävät niitä sopiviksi katsomillaan tavoilla. Tähän tarkoitukseen käytettäviä haittaohjelmia on myynnissä pimeillä markkinoilla, kuten myös hienostuneempia botnet-as-a-service -tyyppisiä palveluita, joissa rikollinen voi ostaa bottiverkon käyttöönsä toiselta rikolliselta, käyttää sitä haittaohjelmien levittämiseen ja jakaa tuotot bottiverkon omistajan kanssa.
- Mainoshuijaus
- Verkkomainokset ovat sivustojen yleinen tapa ansaita. Sivuston ylläpitäjä näyttää mainostajan sisältöä sivustollaan ja aina kun vierailijat klikkaavat mainosta, sivusto saa pienen maksun mainostajalta. Verkkomainokset ovat helppo kohde mainoshuijaukselle (click fraud). Rikolliset voivat isännöidä mainoksia omilla sivustoillaan ja luoda sitten valeklikkauksia, esim. käyttämällä botteja. Mainostaja joutuu maksamaan myös bottiklikkauksista.
- Luvaton kryptolouhinta
- Luvatonta kryptolouhintaa voidaan tehdä esim. bottiverkkojen avulla, jolloin saastuneet koneet valjastetaan louhintaan. Toinen tapa on selainten käyttäminen kryptolouhintaan, tästä käytetään nimitystä kryptokaappaus (cryptojacking). Siinä haittaohjelmien ujuttamisen sijasta rikolliset käyttävät verkkosivuillaan skriptejä, jotka saavat vierailijoiden selaimet louhimaan kryptovaluuttaa. Toiminta ei välttämättä ole laitonta, koska verkkosivun ylläpitäjä voi myös päättää lisätä louhijan sivulleen verkkomainosten tapaan. Rikolliset lisäävät louhijoita esim. kaappaamilleen verkkosivuille.
- Kiristyshaittaohjelmat
Kiristys- tai lunnashaittaohjelmat (ransomware) ovat jo pitkään olleet kasvava trendi. Rikolliset saastuttavat uhrin koneen tai järjestelmän ohjelmalla, joka salaa uhrin tiedostot ja lähettää avaimen rikollisille. Rikolliset vaativat lunnaita avaimesta. Maksu suoritetaan kryptovaluuttaa käyttämällä. Uhrilla ei kuitenkaan koskaan ole takeita siitä, että rikolliset maksun jälkeen toimittaisivat avaimen.
Kiristyshaittaohjelmat ovat kyberrikollisten kultakaivos. Niillä he välttävät tavanomaisia ongelmiaan. Uhrille ei tarvitse myydä mitään eikä häntä tarvitse välttämättä edes huijata, jos kiristyshaittaohjelma saadaan ujutettua hänen koneelleen ilmankin. Kiristyshaittaohjelmat tuottavat hyvin ja niiden uhreissa on sekä yksityishenkilöitä että yrityksiä ja julkisen sektorin toimijoita. Yritysten tuotantojärjestelmissä tai esim. terveydenhuoltojärjestelmissä kiristyshaittaohjelmat voivat olla hyvin tuhoisia ja aiheuttaa valtavia tappiota. Lue F-securen blogista kuinka vuonna 2019 LockerGoga kryptasi NorskHydron tietokoneet ja mitä mahdollisia syitä sille oli.
- Palvelunestohyökkäykset
- Palvelunestohyökkäyksessä (denial of service, DoS) hyökkääjä pyrkii tarkoituksellisesti estämään jonkin järjestelmän käytön tai aiheuttaa sen vahingossa. Palvelu estetään esim. generoimalla valtava määrä verkkoliikennettä jollekin sivustolle, jonka palvelin ei lopulta pysty vastaamaan pyyntöihin. Hajautetussa palvelunestohyökkäyksessä (distributed denial of service, DDoS) hyökkäys tulee useista eri lähteistä, kuten tietokoneista tai IoT-laitteista. Verkkorikolliset myyvät DDoS-hyökkäyksiä palveluna. Niitä ostavat esim. tahot, jotka haluavat aiheuttaa haittaa liikekumppanien toiminnalle tai esim. nettipelaajat, jotka haluavat pudottaa vastustajansa verkosta pelin voittaakseen. DDoS-palvelut saattavat mainostaa palveluitaan “stressitestaajina”, joita web-järjestelmänvalvoja voi käyttää testatakseen, kuinka heidän verkkosovelluksensa suoriutuvat kuormatilanteissa. Todellisuudessa palvelut eivät kuitenkaan tarkista, onko DDoS-hyökkäyksen ostava asiakas sama henkilö, joka omistaa kohteena olevan verkkosivuston.
Verkkohuijaus
Olet todennäköisesti saanut joskus Postin/Omakannan/operaattorin/pankin nimissä lähetetyn tietojenkalasteluviestin sähköpostiisi tai tekstiviestitse. Tyypillisesti ne sisältävät kiireellisen kehotuksen kirjautua viestin mukana tulleen, usein linkinlyhentimellä (esim. bit.ly) hämärrytetyn, linkin kautta. Todennäköisesti myös tiedät jättää viestit omaan arvoonsa, mutta ehkäpä olet miettinyt, mitä linkin takaa löytyy ja millaisella prosessilla tilisi tyhjennettäisiin.
Esimerkiksi Kelan nimissä tullutta huijauslinkkiä klikattuaan uhri ohjautuu väärennetylle tunnistautumissivulle, joka saattaa näyttää täysin aidolta ja kaikki suomalaiselle tutut pankit on listattu tuttuun tapaan. Jos uhri syöttää pankkitunnuksensa hyökkäyssivustolle, on huijarin vielä päästävä kaksivaiheisen tunnistautumisen läpi. On siis oleellista huomata, ettei tietojenkalasteluhyökkäyksessä yleensä hyödynnetä teknisiä tietoturva-aukkoja tai haavoittuvuuksia, vaan käyttäjän virhettä.
Saatuaan uhrin pankkitunnukset haltuunsa huijari kirjautuu uhrin pankkiin. Tämä aloittaa normaaliin tapaan kaksivaiheisen tunnistautumisprosessin, joka nykyään tapahtuu useimmiten pankin mobiilisovelluksella. Uhrin on siis vielä hyväksyttävä sisäänkirjautuminen, yleensä syöttämällä pin-koodi mobiilisovellukseen. Nyt huijari on uhrin pankkitilillä, kun taas uhria pidetään huijaussivulla jollakin verukkeella. Yksi tälläinen tekosyy on esimerkiksi tekaistu virheilmoitus, jossa uhria kehotetaan kirjautumaan uudelleen.
Huijari tarvitsee vielä uhria hyväksymään tehdyt tilisiirrot. Rikolliselle otollisin vaihtoehto olisi tietysti saada rekisteröityä uhrin tilille uusi autentikointisovellus omalle laitteelleen. Rekisteröinnin voi aloittaa verkkopankista, ja koodi tulee jälleen uhrin puhelimeen. Mikäli uhri saadaan syöttämään rekisteröintikoodi huijaussivustolle, on huijarilla kaikki valta tyhjentää tili ja kaupan päälle nostaa vielä luotot tappiin.
Suomeen on pesiytynyt tietoturvan kannalta arveluttava tapa kirjautua kaikkiin vahvaa tunnistatutumista vaativiin palveluihin pankkitunnuksilla. Tämä mahdollistaa muiden kuin pankkien nimissä tehdyt tietojenkalasteluyritykset. Olisi parempi, jos pankkitunnuksilla kirjauduttaisiin vain pankkiin, ja muihin palveluihin esimerkiksi mobiilivarmenteella. Huijaussivuston voikin usein tunnistaa siitä, ettei se tarjoa mobiilivarmennetta kirjautumisvaihtoehtona, siitä kun ei ole huijarille rahallista hyötyä.
Haktivismi (huomionhakuisuus haitallisen toiminnan kautta)¶
Poliittisesti motivoitunutta haitallista toimintaa kutsutaan haktivismiksi. Haktivismilla pyritään vaikuttamaan yhteiskunnan toimintaan ja se voi olla positiivistakin mielipiteen ilmaisua, esimerkiksi sanavapauden tai ihmisoikeuksien puolesta taistelemista. Usein haktivismi kuitenkin ylittää sallittavuuden rajat ja pahimmillaan se voi vaikuttaa haitallisesti täysin sivullisiin tahoihin. Haktivismissa tekijät pyrkivät ilmaisemaan mielipiteensä tietojärjestelmiin aiheuttamiensa muutosten kautta, paljastamalla salattua tietoa tai estämällä palveluiden käyttöä. Osa toiminnasta täyttää rikoksen tunnusmerkit ja on keskusteltu, onko haktivismi poliittista aktivismia ja kansalaistottelemattomuutta vai pitäisikö sitä pitää kyberterrorismina. Haktivistit käyttävät esim. palvelunestohyökkäyksiä saadakseen huomiota tavoitteilleen tai murtautuvat järjestelmiin esim. etsimään paljastettavaa tietoa. Yksi tunnetuimpia haktivistiryhmiä on Anonymous, jonka toimintatapoihin kuuluu esim. palvelunestohyökkäysten käyttö sellaisia organisaatiota vastaan, jotka toimivat ryhmän mielestä väärin. Wikileaks puolestaan keskittyy tietovuotoihin koskien esim. hallitusten kansalaisiin kohdistamia valvontaohjelmia. Haktivistien toimintatapoihin kuuluu myös verkkosivujen sotkeminen (web defacement), jossa kohteena olevan sivuston etusivu sotketaan poliittisesti latautuneella tai muuten pahennusta herättävällä viestillä. Keväällä 2022 Ukrainan kriisiin liittyen haktivistit ovat osallistuneet aktiivisesti myös informaatiosodankäyntiin. Lue Ylen uutisia aiheesta tästä ja tästä. Haktivistien toiminnan vaikutuksista ja riskeistä Ukrainan kriisiin liittyen voit lukea tästä Ylen jutusta.
Valtiolliset toimijat¶
Viime vuosina on havaittu, että valtiollisten toimijoiden tekemät hyökkäykset ovat lisääntyneet. Yleisesti ottaen valtiollisten toimijoiden hyökkäykset erovat kyberrikollisten hyökkäyksistä kahdesta syystä:
- Kyberrikollisten on saatava mahdollisimman paljon uhreja maksimoidakseen voittonsa. Tästä seuraa, että kyberrikollisen hyökkäysten on oltava joko yleisluontoisia tai riittävän monipuolisia, jotta ne kattavat suuren joukon laitteita. Valtiollisen toimijan hyökkäyksen ei tarvitse ansaita rahaa, ja yleensä uhri on hyvin määritelty, esim. tietty organisaatio tai henkilö. Tällöin hyökkäys voidaan räätälöidä uhrin mukaan, mikä lisää onnistumisen mahdollisuuksia, koska suunnitteluun voidaan käyttää aikaa. Tällä tavoin kohdennettu hyökkäys on ainutlaatuinen ja on epätodennäköistä, että olemassa oleva suojausohjelmisto saa sen kiinni.
- Koska on tarve ansaita rahaa, perinteiset kyberrikolliset tekevät hyökkäyksensä nopeasti. Tämä ei koske valtiollisia toimijoita. Hyökkäyksiin voidaan käyttää runsaastikin aikaa, koska usein lopputulos on tärkeämpää kuin kauanko siihen pääsy kesti.
Valtiollisten toimijoiden hyökkäykset jakautuvat pääpiirteissään kolmeen luokkaan hyökkäyksen tarkoituksen mukaan. Nämä ovat sabotaasi, vakoilu ja informaatiovaikuttaminen.
- Sabotaasi
Nykyaikaista kriittistä infrastruktuuria (sähköntuotto, vesihuolto, terveydenhuolto, logistiikka, kriittiset tuotantolaitokset) voidaan häiritä sähköisin keinoin. Monilla kriittisillä laitoksilla, kuten voimalaitoksilla, on jonkinlainen verkkoyhteys voimalaitoksen laitteita ohjaavien tietokoneiden ja niiden tietokoneiden välillä, jotka on yhdistetty internetiin. Tämä on riskialtista ja kun hyökkääjänä on valtiollinen toimija, turvajärjestelyt kahden verkon välisen rajan suojaamiseksi eivät välttämättä riitä, koska hyökkäykset voivat olla niin kehittyneitä ja räätälöityjä, että valmiit ratkaisut eivät pysty havaitsemaan niitä. Kun haittaohjelma onnistuu pääsemään ohjausverkkoon, se voi aiheuttaa toimintahäiriöitä ja mahdollisesti tuhota laitteet. Myös silloin, kun ohjausverkko ja internet on fyysisesti erotettu toisistaan, hyökkäykset ovat edelleen mahdollisia, koska valtiollisilla toimijoilla on lähes rajattomat resurssit hyökkäysten räätälöimiseen ja toteuttamiseen. On hyvä huomata, että sabotaasin uhka ei aina liity ainoastaan valtiollisiin toimijoihin, vaan taustalla saattavat olla myös tyytymättömät työntekijät, jotka toimivat sisäpiiriuhkana.
Tunnettu esimerkki kriittiseen infrastruktuuriin kohdistuneesta todennäköisestä valtiollisen toimijan hyökkäyksestä on Stuxnet-mato, joka oli kehittynyt hyökkäys Nathanzin ydinrikastuslaitosta vastaan Iranissa vuonna 2010. Väitetään, että mato tuotiin laitokseen saastuttamalla ensin erään koneiden kunnossapitoon osallistuneen henkilön kannettava tietokone. Kun mato oli oikeassa ympäristössä, se tunnisti laitteita, joita vastaan se oli kohdistettu. Mato sabotoi rikastuskokeita ja sai sentrifugit pyörimään hallitsemattomasti. Stuxnet on oppikirjaesimerkki siitä, kuinka pitkälle valtiolliset hyökkääjät ovat valmiita menemään saavuttaakseen tavoitteensa ja siitä, kuinka erikoistuneita hyökkäykset voivat olla.
- Vakoilu
- Valtiolliset toimijat myös vakoilevat. Tutkimukset ovat osoittaneet, että valtiolliset toimijat nousevat esiin kohdistetun tietojenkalastelun (spearphishing) hyökkäyksissä, jossa houkutellaan kohteet (esim. aktivistit, yritykset) asentamaan haittaohjelmia, joita käytetään myöhemmin vakoilemiseen. Valtiolliset toimijat myös saastuttavat arkaluonteisia järjestelmiä (esim. suurten yritysten palvelimia) tarkoituksenaan varastaa arkaluonteista tietoa. Näitä pitkäaikaisia, kehittyneitä hyökkäyksiä kutsutaan edistyneiksi pysyviksi uhiksi (advanced persistent threats, APT).
- Informaatiovaikuttaminen
- Informaatiovaikuttamisella (disinformation) pyritään vaikuttamaan ihmisten ajatuksiin, asenteisiin, päätöksentekoon ja toimintaan. Sillä on nyky-yhteiskunnassa monia muotoja, esimerkiksi vaalivaikuttaminen ja valeuutiset. Parin viime vuoden aikana on saatu näyttöä siitä, että valtiolliset toimijat ovat olleet mukana levittämässä disinformaatiota sosiaalisessa mediassa. Tämä on tehty trolli-tilien kautta, jotka pyrkivät polarisoimaan verkkokeskusteluja. Vaikka sosiaalisen median alustat, kuten Twitter, ovat antaneet tietoja tileistä, jotka liittyvät valtiolliseen informaatiovaikuttamiseen, tiukat todisteet puuttuvat siitä miten vaikuttamista tehdään. Esim. ei ole selvää, missä määrin informaatiovaikuttamiseen osallistuvia tilejä käyttävät ihmiset bottien sijaan.
Lue YLEN sivulta keskustelua valtiollisista toimijoista. Muuttuiko mikään, kun haastattelussa mainittu toimija kolme päivää myöhemmin hyökkäsi uudelleen Ukrainaan? Huomaa: seuraava tehtävä ei viittaa YLEn tekstiin vaan esillä olevan Plussa-sivun tekstiin.