Supo tunnisti eduskunnan kyberiskun tekijän – epäiltynä Kiina - Tietoturva - Ilta-Sanomat

Supo tunnisti eduskunnan kyberiskun tekijän – epäiltynä Kiina

Takana on APT31:nä tunnettu valtiollinen toimija.

Kiinalaiseksi uskottu APT31-kybertiedusteluorganisaatio on vakoilee valtiollisia, sotilaallisia, taloudellisia ja teollisia kohteita.

18.3. 12:10 | Päivitetty 18.3. 13:47

Suojelupoliisi sanoo tunnistaneensa vuonna 2020 eduskuntaan kohdistuneen kybervakoiluoperaation, jossa yritettiin tunkeutua eduskunnan tietojärjestelmiin.

Suojelupoliisin tiedustelutietojen mukaan kyseessä oli niin kutsuttu APT31-operaatio. Kyse on samasta tapauksesta, josta eduskunta tiedotti joulukuun lopussa 2020.

Supo arvioi törkeän rikoksen tunnusmerkistön täyttyneen ja antoi tiedon tapauksesta Keskusrikospoliisille. Asiaa tutkitaan nyt epäiltynä törkeänä tietomurtona, törkeänä vakoiluna ja törkeänä viestintäsalaisuuden loukkauksena.

Supo ei ota kantaa tiedotteessaan iskun alkuperään, mutta APT31 on valtiollinen toimija, jonka uskotaan tulevan Kiinasta.

Tutkinnanjohtaja, rikoskomisario Tero Muurmanin mukaan KRP ei ota kantaa hakkeroinnin alkuperään.

– Selvitämme APT31-toimijan yhteyksiä tekoon. Meillä ei ole esitutkinnassa näyttöä, jolla voisimme yhdistää toimijaa valtioon. Se olisi spekulointia, mitä emme voi tehdä, Muurman sanoo.

Kybertutkinta on aina spekulointia, sillä savuavia aseita ei kybermaailmassa ole. Kun olette APT31:n tiedotteessa maininneet, asioista ollaan selvästi niin varmoja kuin vain voidaan olla.

– Niin varmoja kuin voidaan olla. Yhteyttä tosiaan selvitetään.

Kun kyse on spekulaatioista, millä perusteilla APT31 on mainittu tiedotteessa?

– Tietoa on kerätty laajalti eri puolilta maailmaa. Tutkinta on edennyt varsin hyvin, ja nyt olemme pystyneet kohdentamaan sitä. Tutkintaa on kohdennettu tähän toimijaan.

Uskotko tekijöiden joutuvan oikeuteen?

– Teemme työmme niin hyvin kuin voimme, enkä lähde lopputulosta spekuloimaan.

Muurman ei kommentoi, millaisia tutkintamenetelmiä asiassa on käytetty tai minkä ulkomaisten kumppanien kanssa asiaa on selvitetty.

KRP ei myöskään kerro, millaisia tietoja murtautuja on saanut haltuunsa ja kuinka montaa henkilöä murto koskee. Kohteita on ”useita”, ja aiemmin on kerrottu osan vaarantuneista tileistä kuuluneen kansanedustajille.

Poliisi ei myöskään kommentoi, onko murto vaarantanut kansallista turvallisuutta.

Muurmanin mukaan murrolla ei ole yhteyttä tällä ja viime viikolla uutisoituihin Exchange-murtoihin. Exchange-murrot mahdollistavat haavoittuvuudet tulivat julkisuuteen vasta tämän kuun aikana, mutta ne ovat saattaneet olla valtiollisilla kybertiedustelijoilla tiedossaan jo aiemmin.

KRP jatkaa tutkintaa samoin kuin aiemminkin, eli tietopyyntöjä tekemällä ja keräämäänsä materiaalia läpikäymällä.

Eduskunnan tietoturvaa on vahvistettu vakoilutapauksen jälkeen.

APT31 tunnetaan myös nimillä Zirconium, Judgement Panda ja Bronze Winewood.

Lyhenne APT tulee sanoista Advanced Persistent Threat eli pysyvä kehittynyt uhkatoimija. Tällä tavataan viitata valtiollisiin ja muihin teknisesti kyvykkäisiin kybertiedusteluorganisaatioihin. Numero lyhenteen perässä yksilöi toimijan.

Hakkerointiryhmistä kirjaa pitävän Malpedian mukaan APT31 on Kiinan hallituksen etuja ajava organisaatio. Sen toimintamenetelmiin ovat kuuluneet muun muassa räätälöidyt hyökkäykset (spear phishing) ja verkkohaavoittuvuuksien aktiivinen hyväksikäyttäminen.

Tietoturvayhtiö FireEyen mukaan kiinalaiseksi epäillyn APT31:n kohteita ovat hallitukset, puolustuslaitokset, telekommunikaatio, media ja ilmailu- ja muu kehittynyt teollisuus. Sen tarkoitus on toteuttaa poliittista, taloudellista ja sotilaallista vakoilua.

Google kertoo APT31:n yrittäneen hakkeroida Joe Bidenin ja Donald Trumpin vaalikampanjaorganisaatioita.

APT31:n tiedetään varastaneen onnistuneesti aiemmin tuntemattomia haavoittuvuuksia eli niin sanottuja nollapäiväaukkoja, kertoo tietoturvayhtiö Check Point. Niihin kohdistettuja iskuja on vaikea torjua.

Osion tuoreimmat

Luitko jo nämä?