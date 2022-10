Espoolaisen toimistotalon ikkunassa on verhot, joita ei ikinä avata. Niiden takana taistellaan hakkereita ja verkkorikollisia vastaan.

Nyt on piru merrassa, Jouni Mikkola ajatteli.

Ongelmat olivat alkaneet melko mitättömältä vaikuttavasta tietoturvapoikkeamasta.

Hänen tiiminsä onnistui myös paikantaa hyökkääjän käyttämä haittaohjelma. Tapauksen piti olla pitkälti siinä.

Nyt asiakkaan tietojärjestelmässä ei ollutkaan ainoastaan yhtä saastunutta palvelinta, vaan hakkeri oli saanut haltuunsa kymmeniä erilaisia laitteita.

IT-osastolla todennäköisesti hikoiltiin. Yrityksen käyttämät verkkopalvelut olivat pimeänä ja useiden muiden osastojen liiketoiminta oli käytännössä pysähdyksissä.

Mikkola tiesi pelaavansa aikaa ja taitavaa hakkeria vastaan.

Ja sitten palvelimilta löytyi uhkaava teksti.

Jouni Mikkola työpaikkansa kattoterassilla Espoon Keilaniemessä.

Tietoturvayritys Nixun toimitilat sijaitsevat meren äärellä Espoon Keilaniemessä. Suurista ikkunoista näkee kesäisin Keilalahden aalloilla liikkuvia veneilijöitä sekä Helsingin puolelle Lehtisaareen ja Lauttasaareen.

Yhden ikkunan eteen on vedetty verhot, joita ei ikinä avata.

Salaperäisessä huoneessa pyöritetään tietoturvavalvomoa eli SOC:tä, security operations centeriä. Valvomossa käsitellään salaista ja arkaluonteista tietoa, jota Nixu tarvitsee huolehtiakseen asiakkaidensa kyberturvallisuudesta. Sinne ei missään nimessä saa nähdä sisään viereisistä rakennuksista saati kuvauskopterista käsin.

Edes yrityksen johto ei pääse sisälle valvomoon, vaan joutuu katsomaan sinne äänieristetyn lasin takaa. Ja jos oven yläpuolella palaa punainen valo, silloin tarkkailuhuoneeseenkaan ei ole asiaa.

Nyt yksi sisällä työpöytiensä ääressä istuvista analyytikoista näki näytöltään hälytyksen. Se oli noussut esiin asiakasyrityksen laitteilta kerätyistä lokitiedostoista, muistiinpanoista laitteilla tehdyistä toimenpiteistä ja tapahtumista.

Datavirrassa näkyi poikkeus sääntöön. Asiakkaan, kansainvälisesti toimivan yrityksen, eräässä suomalaisessa konesalissa sijaitsevalla Windows-palvelimella näytti käynnistyvän prosesseja, joiden ei kuuluisi käynnistyä.

Se ei vielä välttämättä tarkoittaisi mitään merkittävää, mutta analyytikko aloitti silti pintapuoleisen tietoturvatutkinnan.

DDOS Suurelle yleisölle tunnetuinta kyberhyökkäyksen muotoa kutsutaan dossiksi. DDOS eli distributed denial of service, suomeksi hajautettu palvelunestohyökkäys. Tällaisia hyökkäyksiä käytetään kaatamaan nettisivuja ja -palveluita aiheuttamalla ikään kuin keinotekoinen liikenneruuhka. Hyökkääjä ohjaa esimerkiksi verkkopankin osoitteeseen niin massiivisen määrän liikennettä, ettei sivuston kapasiteetti riitä. Tyypillisesti hyökkääjä käyttää apunaan bottiverkkoa. Se on ohjelmallisesti kaapattujen älylaitteiden verkosto, jota hakkeri ohjailee. Bottiverkkoon voi kuulua kymmeniä tuhansia verkkoon kytkettyjä laitteita – ei ainoastaan tietokoneita ja älypuhelimia, vaan vaikkapa älyjääkaappeja ja ovikelloja. Bottiverkkojen omistajat myös vuokraavat verkkojaan eteenpäin. Hinnat ovat hyvin edullisia. Bottinetin voi saada käyttöönsä vuorokaudeksi kymmenien dollarien hinnalla. Palvelunestohyökkäyksen tekeminen ei välttämättä vaadi kovinkaan kummoista osaamista, mutta sellaiselta on myös erittäin vaikea suojautua.

Jouni Mikkola, 36, istui kotonaan edelliseltä työnantajaltaan ostamallaan tuolilla. Elettiin korona-aikaa, loppuvuotta 2021 ja Mikkola odotteli jo työpäivänsä päättymistä. Sitten se hälytys tuli.

– Oli pieni harmitus, että tällainen tuli heti loman jälkeen, kun olin juuri palautunut.

Sitten hän innostui. Tämähän olisi iso keikka.

– Se on tämän työn suola. Se on tavallaan tosi siistiä.

Mikkolan tiimi on tutkinut tuhansia erittäin monimutkaisia kyberhyökkäys- ja tietomurtotapauksia.

Nyt päällä oleva tilanne oli alkanut edellispäivänä ja luokiteltu aluksi kiireellisyysasteikon keskivaiheille, hoidettavaksi tai siirrettäväksi eteenpäin enintään kolmessa tunnissa.

Sitä tutkinut ensivasteen analyytikko siirsi sen eteenpäin jo puolen tunnin kuluttua.

Murtoepäily. Asiakkaan Windows-palvelimella oli käynnistynyt normaalista poikkeavaa PowerShell-toimintaa.

PowerShell on Windows-käyttöjärjestelmään sisäänrakennettu ylläpitotyökalu, johon tavallinen tietokoneen käyttäjä ei törmää koskaan. Se mahdollistaa esimerkiksi saman ylläpitotehtävän uudelleenajamisen.

Se on myös yksi hakkereiden eniten käyttämistä hyökkäystavoista.

Asiakkaalta kerättyjen lokitietojen perusteella oli ensimmäinen kerta, kun palvelimella tapahtui tällaista. Se oli epäilyttävää.

– Toisaalta välillä it-järjestelmissä tapahtuu myös todella kummallisia asioita, kun ylläpitäjät tekevät töitään, Mikkola sanoo.

Näytti siltä, että laitteelle ei ollut kirjauduttu oikean henkilön – esimerkiksi ylläpitäjän – tunnuksilla, vaan laitteella toimi käyttöjärjestelmätunnus, jolla oli kaikki oikeudet.

Lisäksi hälytyksen aiheuttaneen palvelimen verkossa yksilöivästä tunnuksesta eli ip-osoitteesta oli liikennöity PowerShelliä käyttäen julkiseen ip-osoitteeseen.

Se oli vahva merkki siitä, että joku tai jotkut ovat murtautuneet palvelimelle.

Mikkolasta, viralliselta titteliltään Manager, Prevention and Monitoring Technologies, tuli tapauksen tutkinnanjohtaja.

Yhden yksittäisen palvelimen saastuminen ei ole mitenkään erityisen poikkeuksellista, eikä tämä palvelin ollut kriittinen. Mikkola ja asiakasyrityksen it-johto päättivät, ettei sitä eristetä, eli kytketä pois verkosta. Ei ainakaan vielä.

Yritys asentaisi joka tapauksessa laitteelle Nixun edistyneen päätevalvonnan, joka nauhoittaisi tietoja laitteen toiminnasta.

Tapaus ei aiheuttaisi mitään iltasätkymistä, Mikkola ajatteli. Asiakkaan kanssa oli keskusteltu riskistä, eikä se vaikuttanut suurelta.

Hän oli väärässä.

NotPetyan kiristysviesti. Yksi historian tuhoisimmista ja laajimmalle levinneistä kyberhyökkäyksistä tapahtui hiljaisena heinäkuun iltapäivänä vuonna 2017. Sen tunnetuin uhri oli maailman suurimpiin kuuluva rahtilaivavarustamo Maersk. Jättiyhtiö, joka operoi yli 700 rahtialusta, yli 300 konttisatamaa ja -terminaalia 121 maassa ja jopa viidennestä maailmankaupasta. Maerskin työntekijät alkoivat nähdä viestejä, joissa kerrottiin yhtiön tietojärjestelmiä korjattavan. Toiset työntekijät saivat viestin, jonka mukaan tärkeitä tiedostoja on kryptattu ja niiden avaamiseksi pitäisi maksaa 300 dollaria virtuaalivaluutta bitcoineina. Yhtiön päämajassa syntyi paniikki. Rahtijätti putosi polvilleen jo saman päivän aikana. Yhtiön liiketoiminta käytännössä lakkasi. Sen tietojärjestelmät ja jopa puhelinverkko muuttuivat hetkessä hyödyttämäksi, sillä haittaohjelma levisi mieletöntä vauhtia yhtiön sisällä ja ulkopuolella. Eikä Maersk edes ollut hyökkääjän kohde, vaan sivullinen uhri. Haittaohjelma, joka sai myöhemmin nimen NotPetya, oli lähtöisin Venäjän sotilastiedustelu GRU:n sisällä toimivalta yksiköltä 74455. Maailmalla tämä hakkeriryhmä tunnetaan nimellä Sandworm. Häikäilemättömän haittaohjelman kohteena oli Ukrainan yhteiskunta, sen yritykset ja viranomaiset. Yhtäkkiä maan pankit, metro, lentokentät, puhelinyhtiöt ja rautatieliikenne kärsivät kaikki haittaohjelmasta. Tshernobylin ydinvoimalan radioaktiivisuutta mittaavat päätteet menivät pois päältä. NotPetya levitti itseään automaattisesti, minne vain kykeni. Sen tehtävä oli aiheuttaa mahdollisimman suuri määrä vahinkoa mahdollisimman nopeasti. Kun ohjelma lähetti uhrilleen kiristysviestin, oli jo liian myöhäistä. Viesti oli pelkkää harhautusta. Sen tarkoituksena oli ostaa aikaa tuhon lisäämiseksi ja vastatoimien viivyttämiseksi. Maksetut rahasummat katoaisivat pysyvästi bittiavaruuteen. Vain tunneissa NotPetya oli levinnyt kymmeniin tuhansiin laitteisiin 65 valtiossa. Se levisi jopa takaisin Venäjälle ja saastutti valtion öljy-yhtiö Rosneftin verkkolaitteita. Maerskille aiheutui hyökkäyksestä kuukausien mittainen vaiva, joka maksoi yritykselle 250–300 miljoonaa dollaria. Joidenkin arvioiden mukaan haittaohjelma aiheutti kokonaisuudessaan maailmanlaajuista tuhoa jopa 10 miljardin Yhdysvaltain dollarin edestä. Kuten Valkoisen talon silloinen kotimaan turvallisuuden neuvonantaja Tom Bossert kuvaili, se oli kuin ”käytettäisiin atomipommia pienen taktisen voiton saavuttamiseen”.

Seuraavana päivänä Jouni Mikkolan tiimi jatkoi saastuneen palvelimen tutkimista. Päätevalvonta näytti heille reaaliajassa, mitä tietokoneella tapahtui.

Mikkola ei ole varma, oliko asiakasyritys koskaan yhteydessä poliisiin.

– Tämä riippuu paljon yrityksestä ja sinänsä suosittelen kyllä aina tekemään rikosilmoituksen. Usein kuitenkin esimerkiksi vähemmän kriittisissä tapauksissa tämä jää tekemättä. Poliisin mahdollisuudet saada rikollisia tosin kiinni ovat rajalliset, koska toimijat ovat ulkomaisia melkein aina.

Nixulaiset eivät vielä tienneet, mitä murtautuja halusi tai mitä hän yritti tehdä palvelimella PowerShelliä käyttäen.

– PowerShell käynnistyi, mutta se käyttäytyi melko normaalisti. Mikään ei oikein viitannut siihen, että se oli olisi ollut pahuutta. Se olisi voinut olla ihan asiallinen sovellus.

Koko palvelimen kopioiminen tutkintaa varten olisi ollut aikaa vievää, joten tutkijat ottivat vain pienen paketin dataa.

Tutkittavaa dataa on yleensä satoja tuhansia ellei jopa miljoonia rivejä. Todistusaineiston läpikäynti oli hidasta, koska hyökkääjä ei tehnyt mitään ilmiselvää.

Toinen asiantuntija perehtyi laitteen muistin sisältöön, Mikkola tutki sen kiintolevyltä poimittua todistusaineistoa. Hän kuunteli konemusiikkia, rockia, metallia. Daft Punkia.

– Hyökkääjä käytti Windowsin sisäänrakennettuja ominaisuuksia ja välillä oli vaikea erottaa mikä on normaalia Windowsin toimintaa ja mikä hyökkääjän toimintaa. Täytyy tuntea tosi hyvin, miltä Windowsin normaali toiminta näyttää.

Tiimissä alkoi tutkinnan edetessä näkyä turhautumisen merkkejä, sillä mitään ei tuntunut löytyvän.

– Vähän mietittiin, että onkohan tässä nyt oikeasti paha tilanne. Nuoremmilla tutkijoilla oli haasteita miettiä, mitä pitäisi seuraavaksi tehdä.

Mikkolalla oli itselläänkin takana tauko isoista ja vaativista tietomurtotutkinnoista. Epävarmuus vaivasi ja huoli asiakkaasta painoi. Sitä tapahtuu aina tutkinnan alkuvaiheessa, ennen kuin ”jutun juoneen päästään kiinni” ja ensimmäiset merkittävät löydökset saadaan kaivettua esiin.

– Sitä alkaa välillä kyseenalaistamaan omaa osaamistaan, kun eteen tulee megaluokan keikka. Pitäisi heti saada selville, mitä on oikein tapahtunut, mutta ei se todellisuudessa koskaan mene niin. Asetan itselleni kovat paineet saada aikaan tuloksia, jotka auttavat asiakasta.

Mikkola piti kahdesti päivässä palaverin asiakasyrityksen kanssa. Hän kertoi, että erilaisista yrityksistä huolimatta hänen tiiminsä ei ollut vieläkään tehnyt läpimurtoa, vaikka laitteelta löytyikin epäilyttäviä tapahtumia.

Nyt palvelin päätettiin joka tapauksessa eristää, varmuuden vuoksi.

Sitten koodirivistöjen kätköistä löytyi selvä poikkeama. Laitteen keskusmuistin kätköissä toimi sovellus, jonka ei kuulunut olla siellä.

Se oli RAT, eli remote access trojan. Etäkäyttötroijalainen.

Kuva on esimerkki miltä tutkittu data voi näyttää, vaikka tässä tapauksessa se ei juuri tältä näyttänytkään. Nixun tutkijat tallensivat tietokoneen muistin tiedostoon ja tutkivat tätä tiedosta erilaisin työkaluin. RAT-sovellus löytyi etsimällä tiettyjä merkkejä muistista.

Haittaohjelman nimi juontuu antiikin taruista. Troijan kaupunkia piirittäneet kreikkalaiset pääsivät tunkeutumaan sen sisään piiloutumalla onttoon puuhevoseen, jonka troijalaiset itse kuljettivat kaupunkiin.

Troijalainen avaa hyökkääjälle ikään kuin takaoven, jonka kautta tämä pääsee käsiksi laitteeseen ja voi käyttää sitä kuin istuisi itse näppäimistön äärellä.

Nyt myös palvelimen viestittely tuntemattoman ip-osoitteen kanssa kävi järkeen. Se oli osoite, jonka avulla murtautuja komensi Mikkolan tutkimaa palvelinta.

Tiimi ei voinut nauttia läpimurrostaan kuin hetken, sillä pian tapahtui jotakin odottamatonta.

Asiakkaan palomuurilokeista löytyi tieto, että kymmenet muutkin asiakkaan laitteet olivat olleet yhteydessä hyökkääjän komento-osoitteeseen. Laitteet olivat pääasiassa palvelimia, mutta mukana oli myös ainakin yksi työasema, läppäri tai pöytätietokone.

Mikkola soitti heti asiakkaan tietoturvasta vastaavalle johtajalle. Tämä oli osannut odottaa ikävää käännettä ja valmis toimenpiteisiin.

Vain puolessa tunnissa kaikki liikenne asiakkaan verkosta hyökkääjän komento-osoitteeseen oli katkaistu.

Hyökkääjä ei ollut aloittelija, ei mikään script kiddie, Mikkola ajatteli. Se tarkoittaa hakkeria, joka on kopioinut temppunsa netistä ymmärtämättä, mitä varsinaisesti tekee. Yleisesti ajatellaan, että tällaiset hakkerit ovat alaikäisiä.

Ei kulunut kuin hetki, kunnes hyökkääjä näytti jälleen taitonsa.

Asiakasyrityksen IT-osasto alkoi saada puheluita ympäri yritystä. Yksi osasto valitti verkon ongelmista, toisen palvelut olivat alhaalla.

Murtautuja oli kryptannut eli salannut haltuunsa saamat verkon osiot. Sen ei pitänyt olla mahdollista, sillä kaikki liikenne hyökkääjän komento-osoitteeseen oli katkaistu.

Oli tapahtunut pahin mahdollinen.

– Usein on niin, että ei ole vain yhtä komentokanavaa, vaan useita kanavia. Oli vain ikävä fakta, että meidän tutkimamme laitteet eivät olleet käyttäneet niitä kaikkia.

Vielä muutamia vuosia sitten hyökkääjät saattoivat odotella jopa viikkoja hiljaa, tutkien uhriensa verkkoja, laitteita ja dataa.

Nykyään otetaan mahdollisimman paljon mahdollisimman pian. Murrosta lunnasvaatimukseen saattaa kulua ainoastaan tunteja.

Oli mahdotonta sanoa varmasti, miksi hyökkääjä päätti kryptata juuri nyt, Mikkola sanoo.

– Meidän täytyy aina miettiä, milloin omat vastatoimet pitää aloittaa, koska kun hyökkääjä havaitsee vastatoimet, hän saattaa tehdä jotakin odottamatonta. Mutta jos vain odotetaan, hyökkääjä todennäköisesti saavuttaa tavoitteensa.

Loppuvuonna 2021 tapahtuneesta tietomurrosta kehkeytyi ”megaluokan keikka”, Jouni Mikkola luonnehtii.

Seuraavaksi Mikkola tiimeineen harkitsi koko internetyhteyden katkaisemista saastuneilta laitteilta. Se olisi järeä toimi ja tarkoittaisi koko yrityksen liiketoimintasegmentin toiminnan katkeamista.

– Sillä henkilöllä, jonka kanssa tästä keskustelin, ei ollut mandaattia tuollaiseen päätökseen. Käytännössä olisi pitänyt hakea lupa suoraan toimitusjohtajalta.

Lupaa odotellessaan tietoturvatutkijat löysivät useista tietojärjestelmän paikoista hyökkääjän jättämän tekstitiedoston. Se oli lunnasvaatimus, yli miljoona euroa kryptovaluutta bitcoineina.

Mikkola ei nimeä hyökkääjää. Se paljastaisi myös uhrin, globaalisti toimivan yrityksen, jolla on pääkonttori Suomessa.

– Lunnasvaatimukset ovat aina hyvin samanlaisia. Ryhmä X on kryptannut verkkoympäristösi. Tässä on bitcoin-osoite, ja kun maksat sinne ison summan rahaa, saat datasi takaisin. Jos et maksa lunnaita, tulemme julkaisemaan kaiken.

Vaatimuksen allekirjoittajana oli hyvin tunnettu ja pahantahtoinen kybertoimija.

– Tilanne oli tosi vakava ja lunnasvaatimus pöydällä. Koko verkkoalue tiputettiin pois verkosta.

Vaatimuksessaan hyökkääjä kertoi, ettei ollut ainoastaan kryptannut haltuunsa saamia verkkoalueita, vaan myös varastanut niiltä löytyvän datan. Mikkolan tiimi pystyi varmentamaan varkauden ja totesi, että yritykselle olisi riski, jos ja kun data julkaistaisiin netissä tai myytäisiin eteenpäin pimeässä verkossa.

Mikkolan mukaan ei ole mitään takeita siitä, että lunnaiden vaatija tekee kuten lupaa.

– Viesteissä lukee aina, että emmehän me voisi tehdä liiketoimintaa, ellemme antaisi vietyä dataa takaisin. Se ei pidä paikkaansa.

Onni onnettomuudessa oli, että hyökkääjä ei ollut kryptannut yrityksen koko verkkoa laitteineen, vaan ainoastaan osan. Sen osan liiketoiminta oli nyt joka tapauksessa kokonaan pysähdyksissä.

Datan varastaminen ja sillä kiristäminen on nykyään tyypillistä. Myös 21. lokakuuta 2020 julkisuuteen tulleen Psykoterapiakeskus Vastaamoon kohdistuneen tietomurron tehnyt taho kiristi yritystä ja myöhemmin sen asiakkaita viemillään jopa 33 000 asiakkaan henkilö- ja potilastiedoilla. Suomen tähän asti suurimman tietomurron tekijää tai tekijöitä ei ole toistaiseksi saatu kiinni.

Tietomurron lopputuloksena Vastaamo meni konkurssiin. Se on pahinta, mitä yrityksen kannalta voi tapahtua. Voi vain miettiä seurauksia, mikäli vastaava tietomurto kohdistuisi vaikkapa suomalaisten digitaalisia henkilötietoja hallinnoivaan viranomaiseen.

Kun rahaa ei alkanut kuulumaan, hyökkääjä kovensi lunnasvaatimusta ja lupasi paljastaa, kuinka temppunsa teki.

– Siellä oli myös asiaankuuluva viesti, jossa sanottiin, että teidän it-väki on surkeaa. Vähemmän kokeneet voivat ottaa tuollaisen loukkauksena, mutta minua se nauratti, Mikkola sanoo.

Koko internetyhteyttä ei katkaistu. Mikkola ehdotti, että he tutkisivat tapauksen loppuun asti ja selvittäisivät, miten hyökkääjä oli päässyt verkkoon sisään.

Kun verkkoympäristö olisi täysin puhdistettu ja kaikki hyökkääjän komentokanavat tukittu ja selvitetty, ympäristö palautettaisiin ennalleen eri paikassa säilytettyä varmuuskopiota käyttäen. Nixu myös ottaisi yrityksen tehostettuun valvontaan määräajaksi.

Yrityksen kannalta oli onnenpotku – tai järkevää varautumista pahimpaan – että varmuuskopio oli olemassa.

Pysyvää vahinkoa ei syntynyt. Yritykselle tuli ainoastaan välittömiä rahallisia vahinkoja tehdyistä tietoturvatoimenpiteistä ja pysähtyneestä liiketoiminnasta. Se oli hoitanut varmistuksensa hyvin ja kaikki kryptattu saatiin palautettua varmistuksista.

Usein näin ei ole, vaan hyökkääjä on myös onnistunut kryptaamaan varmistukset, Mikkola sanoo. Tällöin tilanne on huomattavasti monimutkaisempi.

Vyyhti aukesi lopullisesti RAT-haittaohjelmaan liittyvästä ahaa-elämyksestä, Mikkola kertoo.

Sovellus jakoi itseään automaattisesti eteenpäin verkon sisällä ja meni välillä laitteesta toiseen. Tätä seuraamalla löytyi kaiken alkupiste. Se oli etäkäyttöpalvelin, ikään kuin verkon reunalla oleva laite, johon on julkinen pääsy. Sellaisia käytetään yleisesti yritysverkoissa.

Tälle oli kirjauduttu erilaisista vpn-osoitteista, mikä on hyvin tyypillistä etätyön aikakautena. Vpn mahdollistaa pääsyn yrityksen järjestelmiin, vaikka käyttäjä ei olisi yrityksen tiloissa. Sitä käyttämällä voidaan myös piilottaa käyttäjän oikea osoite, jolloin hyökkääjä voi yrittää salata oikeaa sijaintiaan.

Erityisen usein palvelimelle oli kirjautunut tavallisen, paljon matkustelevan käyttäjän tunnus.

– Tämä oli ikävä sattuma, koska kyseiselle käyttäjälle oli normaalia, että kirjautumisen lähdemaa vaihteli paljon. Tällöin oudoista maista tulevat kirjautumiset eivät näyttäneet poikkeavilta.

Hyökkääjä oli saanut tunnuksen haltuunsa todennäköisesti tietojenkalastelusähköpostin avulla. Kalastelu eli phishing on nykyään erittäin sofistikoitunutta, Mikkola kertoo.

Seuraavaksi hyökkääjä onnistui jollain tavalla nostamaan haltuunsa saamansa käyttäjätunnuksen oikeuksia ja pääsi täten käsiksi asioihin, joihin vain ylläpitäjillä olisi normaalisti valtuudet. Sitten lumipallo lähti vierimään.

Mikkola kertoo, että koko vyyhti olisi todennäköisesti voitu välttää erittäin yksinkertaisella keinolla: kaksivaiheisella tunnistautumisella.

Ainakin osa yritykseltä viedystä datasta julkaistiin myöhemmin verkossa. Hyökkäyksen takana ollut kybertoimija taas jatkaa toimintaansa ja on tullut vastaan Nixun muissakin tutkinnoissa.

