10 suurinta kybervakoilu tapausta: Viimeisen vuoden suuret kampanjat

Avoin toiminta
Tiivistelmä

Kybervakoilu on kasvava trendi maailmalla, kuten vuoden 2020 SolarWinds-tietomurto ja Pariisin olympialaisiin liittyvät turvatoimet osoittavat. Monet valtiolliset toimijat – pääasiassa Kiina, Pohjois-Korea ja Venäjä, hyödyntävät kybervakoilua taloudellisten, poliittisten ja turvallisuuteen liittyvien intressiensä edistämiseen digitaalisessa ympäristössä. Tämän takia tulevaisuudessa on erityisen tärkeää kehittää tehokkaita ja turvallisia vastatoimia kybervakoilun torjumiseksi ja yksityisyyden sekä kriittisen infrastruktuurin suojaamiseksi.

Kybervakoilu on yleistymässä kovaa vauhtia, mistä osoituksena ovat viimevuosilta esimerkiksi SolarWinds-tietomurto ja Pariisin olympialaisiin liittyneet vakoilutoimet. Tekoälyn voimaannuttaman kybertiedustelun uhka jatkaa kehittymistään yhä vaikeammin torjuttavaksi ja havaittavaksi.

Pysyvien kybervakoiluun liittyen uhkien nousu osoittaa sen, kuinka valtioiden ohjaamat ja tukemat toimijat voivat helposti tunkeutua erittäin korkean turvatason järjestelmiin jättäen jälkeensä pelkkää tuhoa ja ongelmia.

Hallitukset ovat nyt viimein heräämässä tähän digitaalisen kylmän sodan uhkaan, jossa kybervakoilu ja -sota tapahtuvat digitaalisessa maailmassa. Huolia herättää myös yhä kehittyneempien ja paremmin kohdennettujen menetelmien aiheuttamat haasteet kansalliselle turvallisuudelle, maailmankaupalle, kriittiselle infrastruktuuri ja kansalaisten yksityisyydelle.

Tämä artikkeli tutkii tunnetuimpia ja laajimpia kybertiedusteluun liittyviä kampanjoita viimeisen 12 kuukauden ajalta. Samalla käymme läpi sitä, mitä kaikkea voi odottaa tapahtuvan tulevina vuosina.

Keskeisimmät asiat

  • Kybervakoilu ja verkkourkinta on kehitetty kohdistamaan hyökkäyksiä kriittistä infrastruktuuria ja strategisia kohteita kohtaan maailmanlaajuisesti.
  • Valtiojohtoiset toimijat, kuten Kiinan, Venäjän, Iranin ja Pohjois-Korean tukemat ryhmittymät, ovat osoittaneet osaamisensa tunkeutua ja häiritä erilaisia tietojärjestelmiä.
  • Viimeaikaiset tapahtumat todistavat sen, että länsimaat kohtaavat kasvavia haasteita suojata pilvipalveluita kybervakoilua vastaan.

Vuoden 2023-2024 10 merkittävintä kybervakoiluun liittyvää tapausta

1. Pariisin 2024 olympialaisten turvaaminen on todellinen haaste kybervakoilulle 

Ranska kohtaa kasvavaa kybertiedustelun uhkaa vuoden 2024 Pariisin olympialaisiin liittyen, mikä korostuu erityisesti ANSSIn raportissa, jossa korostetaan merkittävästä vakoilun lisääntymisestä monilla strategisilla sektoreilla, kuten julkishallinto ja maanpuolustukseen keskittyneet organisaatiot.

Kybervakoilun ja hyökkäysten lisääntyminen varsinkin mobiililaitteita ja tietoverkkoja vastaan korostaa valtiollisten ryhmittymien aktiivisuutta. Niiden takana on havaittu olevan esimerkiksi Venäjä ja Kiina.

Hyökkääjät voivat hyödyntää suurten tapahtumien digitaalisia järjestelmiä ja medianäkyvyyttä valvoakseen, kiristääkseen sekä tahriakseen kisojen isäntämaan imagoa tai häiritäkseen itse tapahtuman järjestämistä.

Olympialaisten lähestyessä ANSSIn huomio on ollut erityisesti hyökkäysten ennakoinnissa ja järjestelmien vakauttamisessa.

Raportti korostaa edistyneiden kyberturvallisuuteen liittyvien puolustusjärjestelmien välttämättömyyttä tässä digitaalisen sodankäynnin kontekstissa. Samoin se painottaa kansallisen ja kansainvälisen valppauden ja valmiuden kriittistä tarvetta.

2. Patchwork APT:n kybertiedustelu-operaatio: VajraSpy RAT tunkeutui Google Playhin

Intialainen APT-ryhmä Patchwork on käyttänyt hyväkseen Google Playta levittääkseen kybervakoiluun liittyviä sovelluksia. Se kohdisti hyökkäyksen pakistanilaisiin uudella etäkäyttöön perustuvalla troijalaisella, joka tunnetaan nimellä VajraSpy. Kyseinen haittaohjelma oli piilotettuna ulkoisesti legitiimeiltä vaikuttaviin viesti- ja uutissovelluksiin.

Tällä hetkellä arvioidaan, että tämä kybervakoilukampanja on johtanut tuhansien haittaohjelmilla varustettujen sovellusten asentamisiin. Ne pystyvät sieppaamaan käyttäjän viestintää ja poimimaan tietynlaisia viestejä sosiaalisen median alustoilta, kuten WhatsApp ja Signal. Samoin haittaohjelma pystyy tallentamaan puheluita ja ottamaan salaa kuvia saastuneiden laitteiden kameroilla.

Vaikka VajraSpy on poistettu Google Playsta, se pysyy tietoturvaan liittyvänä haittaohjelmana kolmannen osapuolen sovelluskaupoissa. Tämä taas korostaa sitä, että valtiollisten toimijoiden aiheuttamien kyberuhkien laajuus kasvaa jatkuvasti.

3. Pilvipalvelu vaarassa: Kuinka APT29 hyödyntää pilvipalveluiden haavoittuvuuksia

Venäläisen APT29-ryhmittymän – tunnetaan myös nimillä Cozy Bear, Midnight Blizzard ja Nobelium – pitkälle kehittyneet kybervakoiluun keskittyvät taktiikat ja teknologiat ovat merkittäviä uhkia pilvipalveluiden haavoittuvuuksien hyödyntämisessä. Tämä korostaa kasvavia tietoturvahaasteita pilvi-infrastruktuurin suojaamisessa pitkälle kehittyneiltä kyberhyökkäyksiltä.

Länsimainen tiedustelu on tunnistanut APT29:n toimivan Venäjän ulkomaantiedustelupalvelun SVR:n alaisuudessa. APT29 on kehittänyt menetelmiään tunkeutuakseen tehokkaasti hallitusten ja yritysten pilvipalveluihin.

APT29:n tunnetuimpia hyökkäyksiä ovat olleet vuoden 2016 demokraattisen puolueen kansalliskomitean hakkerointi ja vuoden 2020 SolarWinds-ohjelmiston hakkerointi. APT29:n viimeaikaiset hyökkäykset käsittävät Microsoftin henkilökunnan sähköpostitilien murtamisen ja arkaluontoisten tietojen varastamisen Hewlett Packard Enterprisestä.

Tämä strateginen keskittyminen nimenomaan pilvipalveluihin sekä uudenlaiset taktiikat, kuten “MFA pommitus”, korostavat juuri pilviympäristöjä uhkaavien uusien kyberuhkien jatkuvaa ja kehittyvää luonnetta.

Iso-Britannian National Cyber Security Centre (NCSC) on yhteistyössä maailmanlaajuisten kyberturvallisuusvirastojen, kuten NSA:n ja FBI:n, kanssa antanut varoituksen APT29:n moderneista tekniikoista.

Nämä sisältävät esimerkiksi brute force -hyökkäykset ja salasanojen murtamiseen liittyviä tekniikoita sellaisia tilejä kohtaan, jotka ovat usein riittämättömästi suojattuja. Ne eivät usein sisällä esimerkiksi monivaiheista autentikointia, mikä on ongelma varsinkin silloin, kun organisaatioiden sisällä jaetaan resursseja pilvipalveluiden avulla.

4. I-Soon-vuoto paljastaa Kiinan kybervakoiluun keskittyneen koneiston

I-Soonin tietovuoto paljasti äskettäin hyvän esimerkin Kiinan kybervakoiluun liittyvistä toimista ja strategioista. Sen puitteissa paljastui nimittäin laaja kybervakoilukampanja, joka kohdistuu useisiin maailmanlaajuisiin toimijoihin aina sosiaalisen median alustoista eri maiden hallituksiin.

GitHubissa kiertävä vuoto paljastaa monipuolisia työkaluja, jotka käsittävät kehittyneitä hakkerointiin liittyviä työkaluja ja -ominaisuuksia, kuten Android- ja iOS-laitteiden murtamisen mahdollistavia haittaohjelmia, räätälöityjä etäkäyttöön perustuvia troijalaisia ja tietoverkkojen tunkeutumiseen liittyviä laitteita.

Lisäanalyysi yhdistää I-Soonin – kyberturvallisuuteen liittyvän yrityksen – läheisen toiminnan Kiinan hallituksen kanssa. Se palvelee erityisesti virastoja, kuten julkisen turvallisuuden ministeriötä, korostaen sen kybertoimien valtiojohtoista perustaa.

5. Iranin kybervakoilu kohdistuu Lähi-idän ilmailuun ja avaruusteollisuuteen

Google Cloudin kyberturvallisuusosaston Mandiantin tutkijat on paljastanut monisäikeisen kybervakoiluun keskittyneen kampanjan, joka liittyy Iraniin ja kohdistuu Lähi-idän ilmailu-, avaruus- ja puolustusteollisuuteen.

Mandiant on yhdistänyt kampanjan iranilaiseen ryhmään nimeltä UNC1549, jolla on yhteyksiä muun muassa Tortoiseshell-operaatioon.

Tämä operaatio on tunnettu kohteidensa tarkasta valikoimisesta. Sen mielenkiinnon kohteisiin kuuluvat israelilaiset laivanvarustamot ja Yhdysvaltain ilmailu- ja puolustusteollisuuteen liittyviä yrityksiä. Samoin sillä on kytköksiä Iranin islamilaiseen vallankumouskaartiin IRGC:hen.

Tämän yhteys korostuu silloin, kun tarkastellaan alueellisia jännitteitä ja Iranin tukeman Hamas-järjestön toimintaa.

Kampanjaan sisältyi laajamittainen Microsoft Azuren pilvi-infrastruktuurin ja sosiaalisen manipuloinnin käyttäminen, kun ryhmittymä otti käyttöönsä kaksi kybervakoiluun liittyvää järjestelmää – MINIBIKE ja MINIBUS – käyttöön. Nämä taustajärjestelmät mahdollistavat tiedostojen siirron, etäkomentojen suorittamisen ja kehittyneet tiedustelutoiminnot.

Lisäksi tunnistettiin vakoilua varten kehitetty tunnelointia hyväksikäyttävä työkalua, joka sai nimen LIGHTRAIL. Se auttoi peittämään kybervakoilun siten, että se näytti vaarattomalta internet-liikenteeltä. Tämä heijastaa jatkuvasti muuttuvaa ympäristöä uhkien osalta sekä korostaa tarvetta tehostetulle kyberturvallisuudelle maanpuolustuksessa.

6. Rajat ylittävä kybervakoilu: Pohjois-Korean isku eteläkorealaisiin puolijohdevalmistajiin

Pohjois-Korean hakkerit tunkeutuivat eteläkorealaisiin puolijohdelaitteiden valmistajiin ja onnistuivat varastamaan kriittisiä tuotesuunnittelun piiriin kuuluvia piirustuksia ja tietoja niiden valmistamiseen keskittyneistä laitoksista. Tämä tuli ilmi Etelä-Korean kansallisen tiedustelupalvelun työn myötä.

Tämä kybervakoilu korostaa Pjongjangin pyrkimystä kehittää puolijohteita aseohjelmiinsa kansainvälisten pakotteiden keskellä.

Vuoden lopulla ja helmikuussa tapahtuneet murrot korostavat Pohjois-Korean strategista tavoitetta vahvistaa valmiuttaan satelliitti- ja ohjusteknologioiden parissa.

Etelä-Korean tiedusteluvirasto korostaa hakkerien maanläheisiä taktiikoita, jotka hyödyntävät palvelimilla käytössä olevia normaaleja työkaluja. Juuri tämä tekee niistä erityisen vaikeita havaita ja torjua.

Vaikka Pohjois-Korean kybertoimintaan liittyvä historia on hyvin dokumentoitu – erityisesti kryptovaluuttoihin liittyvien varkauksien osalta – nämä viimeaikaiset tapaukset osoittavat Pjongjangin kybersodankäynnin strategioiden kehittymistä moderniin suuntaan. Ne pyrkivät kohdistamaan hyökkäykset keskeisiin teknologioihin ja valtioiden salaisuuksiin kansainvälisten pakotteiden kiertämiseksi.

7. Kiinalainen vakoilu murtaa Hollannin puolustukseen

Hollannin puolustusministeriö joutui kiinalaisen kybervakoilun kohteeksi viime vuonna. Hollannin sotilastiedustelu- ja turvallisuuspalvelu (MIVD) paljasti haittaohjelman, joka tunnetaan nimellä Coathanger.

Kauko-ohjattava troijalainen haittaohjelma oli suunnattu Fortigate-verkon turvalaitteita kohtaan ja osoitti huolestuttavaa toimintavalmiutta selviytymällä järjestelmän uudelleenkäynnistyksistä ja jopa laitteiston ohjelmistopäivityksistä. Näin se pystyy vaikeuttamaan torjuntatoimia merkittävällä tavalla.

Onneksi verkon tehokas segmentointi lievensi tämän tietomurron vaikutuksia. Turvatoimi rajoitti esimerkiksi tutkimukseen ja kehitykseen liittyvien tietoverkkojen altistumista hyökkäykselle.

Vaikka vahinkoja oli kohtalaisen hyvin saatu rajoitettua, tämä tapaus korostaa valtiollisten kyberuhkien kehittynyttä luonnetta – erityisesti kiinalaisten vakoilijoiden osalta maailmanlaajuisesti.

8. Kybervakoiluoperaatiot länsimaiden huippuvirkailijoita vastaan

Joulukuussa 2023 Iso-Britannia ja Yhdysvallat syyttivät yhdessä Venäjän turvallisuuspalveluja laajamittaisen kybervakoilukampanjan toteuttamisesta. Iskun kohteena olivat korkean profiilin henkilöt, kuten poliitikot, toimittajat ja kansalaisjärjestöt.

Tämä syytös vastaa aiempia epäilyksiä Venäjän sekaantumisesta merkittäviin poliittisiin tapahtumiin, kuten vuoden 2016 Brexit-äänestykseen.

Yhdysvallat paljasti samaan aikaan nostavansa syytteitä kahta venäläistä vastaan, jotka liittyivät laajaan hakkerointiin, joka kohdistui varsinkin Nato-maihin.

Iso-Britannian väite korosti FSB:n yrityksiä murtautua Iso-Britannian parlamentin digitaalisiin järjestelmiin, mikä on johtanut asiakirjavuotoihin. Hyökkäykset sijoittuvat vuosien 2015 ja 2023 välillä. Ne sisältävät arkaluonteisia kauppa-asiakirjoja Iso-Britannian ja Yhdysvaltojen välisistä kaupoista ennen vuoden 2019 Iso-Britannian vaaleja.

Tämä kybervakoilu korosti Venäjän aiheuttamaa jatkuvaa ja kehittyvää kyberuhkaa, joka kohdistuu nimenomaan länsimaihin. Samalla tutkimuksen tulokset painottaa sitä, että tulevaisuudessa tulee olla valmis kehittämään puolustusmekanismeja tällaisia valtiojohtoisia vakoilutoimia vastaan.

9. Made in China 2025: Kybervakoilun tavoitteena taloudellinen hallinta

Benjamin Jensen korosti Kiinan kommunistisen puolueen käyttämiä laajalle levinneitä kybervakoilutaktiikoita edustajainhuoneessa pitämässään puheessa. Niiden avulla se pyrkii heikentämään Yhdysvaltain taloutta. He kohdistivat toimensa pääasiassa teknologia-, energia- ja ilmailualojen immateriaalioikeuksia vastaan.

Jensen toi esiin, että Kiina on yhdistetty moniin laajoihin kampanjoihin kybervakoilun osalta. Huomionarvoista on se, että ne ylittävät huomattavasti monien muiden suurten kansakuntien, kuten Venäjän, toimet.

Nämä operaatiot, jotka on huolellisesti dokumentoitu Dyadic Cyber Incident and Campaign Datasetissä, tähtäävät arvokkaiden immateriaalioikeuksien varastamiseen ja ovat tiukasti linjassa Kiinan “Made in China 2025” -strategisen suunnitelman kanssa.

10. Storm-0558: Microsoft toi ilmi merkittävän kiinalaisen kybervakoiluoperaation

Viime vuonna Microsoft paljasti pitkälle kehittyneen kiinalaisen kybervakoiluoperaation, joka tunnetaan nimellä Storm-0558. Se saastutti ainakin 25 organisaation, kuten Yhdysvaltain hallituksen, sähköpostitilejä.

Microsoftin asiakkaan 16. kesäkuuta tekemän ilmoituksen perusteella Microsoft suoritti tutkimuksen, joka paljasti luvattoman pääsyn Länsi-Euroopassa sijainneisiin järjestelmiin. Tavoitteena oli tietojen varastaminen ja käyttäjätietojen kalastelu.

Hyökkääjät pääsivät sisään Outlook Web Accessin ja Outlook.comin kautta väärentämällä turva-avaimia hyödyntäen niiden varmistamiseen liittyviä ongelmia Azure AD -järjestelmässä.

Microsoft vastasi nopeasti tähän uhkaan estämällä väärennetyt turva-avaimet, korvaamalla saastuneen avaimen ja parantamalla pilvipalveluidensa suojauksia.

Tämä tapaus, joka vahvistettiin Yhdysvaltain toimesta, korostaa kiinalaisen kybervakoilun kehittynyttä luonnetta, jossa käytetään edistyneitä välityspalvelimia hyökkäysten havaitsemisen välttämiseksi.

Merkittävät kybervakoiluryhmät ympäri maailman

Hakkeriryhmä Alkuperä/Yhteistyössä Tunnetaan Kohteet Muut nimet
CozyBear Venäjä(FSB Backed) SolarWinds, DNC Hack Yhdysvaltain, Yhdistyneen kuningaskunnan, EU:n, Etelä-Korean ja Uzbekistanin hallinnolliset osastot APT29, YTTRIUM, The Dukes, Office Monkeys
Gorgon Group Pakistan MasterMana Botnet, tunnistautumis varkaudet Yhdysvallat, Saksa, Etelä-Korea, Intia ja Arabiemiirikunnat
Deep Panda Kiina Anthem hack, OPM hack Yhdysvalloissa toimivat organisaatiot hallituksen, armeijan, rahoituksen ja televiestinnän aloilla KungFu Kittens, Shell Crew, WebMasters
Bouning Golf Tuntematon (Lähi-itä) GolfSpy malware -tartunta Lähi-idän sotilastiedot, turkkilaiset, kurdit ja ISIS-tukijat eri maissa
CopyKittens  Iran Operation Wilted Tulip, hyökkäyksiä Saksan hallitusta vastaan Saksa, Israel, Saudi-Arabia, Turkki, Yhdysvallat, Jordania ja YK:n työntekijät
Apt33 Iran (Valtion tukema) Hyökkäyksiä ilmailu- ja energia-alaa vastaan Yhdysvallat, Etelä-Korea, Saudi-Arabia. Organisaatiot ilmailu- ja petrokemian tuotannossa HOLMIUM, Elfin
Charming Kitten Iran Phishing-hyökkäykset, tunnistautumis varkaudet Ajatushautomot, poliittiset tutkimuskeskukset, toimittajat ja ympäristöaktivistit APT35, Phosphorus, Newscaster, Ajax
Magic Hound Iran Spear phishing, haittaohjelmien jakelu Hallitus, teknologia- ja energiasektorit Saudi-Arabiassa ja Yhdysvalloissa Rocket Kitten, Cobalt Gypsy
Muddy Water  Iran Spear phishing, Android haittaohjelmat Lähi-itä, Aasia, Eurooppa, Yhdysvallat, hallinnolliset sektorit, televiestintä
Windshift Tuntematon Hyökkää OSX-käyttäjiä vastaan Kodistetut henkilöt hallituksessa ja kriittisessä infrastruktuurissa Persianlahden yhteistyöneuvoston alueella Bahamut

Kybervakoilu – yhteenveto

Viimeaikaiset kybervakoiluun liittyvät tapaukset – SolarWinds-murto ja VajraSpy – korostavat valtioiden tukemien ja ohjaamien toimijoiden tavoitetta heikentää taloudellisia ja poliittisia toimijoita digitaalisessa ympäristössä siten, että kyseessä olevat valtiot hyötyisivät niistä jollakin tapaa.

Näiden hyökkäysten monimutkaisuus ja kehittyneet teknologiat, jotka hyödyntävät esimerkiksi pilvipalveluiden haavoittuvuuksia ja erilaisia haittaohjelmia, korostavat jatkuvasti paremman kyberturvallisuuden tarvetta.

Kybervakoilun muuttuessa yhä keskeisemmäksi osaksi hallitusten strategioita, näiden tapausten ymmärtäminen on elintärkeää tehokkaiden vastatoimien kehittämiselle ja digitaalisen ympäristön suojaamiselle.

Edward Snowdenin ja Julian Assangen paljastukset ovat myös valoittaneet digitaalisen yksityisyyden ja hallitusten avoimuuden monimutkaista luonnetta. He ovat paljastaneet kiistatta myös sen, ettei Yhdysvallat ja Iso-Britannia ole syyttömiä kybervakoilun osalta vaan aktiivisia toimijoita.

Heidän paljastuksensa CIA:sta paljastivat ennennäkemättömiä valvontaan ja vaikuttamiseen liittyviä taktiikoita WikiLeaksia ja vastaavia aktivistiryhmiä vastaan. Nämä toimet haastavat käsityksiä länsimaisesta vapaudesta ja yksityisyydestä.

Kybervakoilu – UKK

Mikä on esimerkki merkittävästä kybervakoilusta?

Onko kybervakoilu sodankäynnin muoto?

Onko kybervakoilu laitonta?

Mitkä ovat viisi vakoilun tyyppiä?

Samankaltaiset termit

Neil C. Hughes
Senior Technology Writer
Neil C. Hughes
Teknologia-kirjoittaja

Neil on freelance-tekniikkatoimittaja, jolla on yli kahden vuosikymmenen kokemus IT-alalta. Neil on yksi LinkedInin teknologia-alan Top Voices -listan kärjistä ja CIO Magazine ja ZDNet ovat tunnustaneet hänen vaikutusvaltaiset näkemyksensä. Hän on kirjoittanut julkaisuihin, kuten INC, TNW, TechHQ ja Cybernews, ja isännöi myös suosittua Tech Talks Daily -podcastia.