Kotimaa

Mediayhtiö Sanoma verkkovakoilu­yrityksen kohteena – ei näyttöä onnistumisesta

Helsingin Sanomia kustantava Sanoma joutui viime vuonna verkkovakoiluyrityksen kohteeksi. Tiettävästi hyökkäys ei onnistunut.

Helsingin Sanomia kustantava Sanoma joutui viime vuonna kansainvälisen verkkovakoilun tähtäimeen. Tiettävästi vakoiluyritys ei onnistunut eikä Sanomalla ole näyttöä siitä, ovatko hyökkääjät todella lähettäneet vakoilun mahdollistavia kalasteluviestejä.

”Meillä on vahva näyttö, että kohteena ovat olleet Sanoman työntekijät”, kertoo Feike Hacquebord tietoturvayhtiö Trend Microlta. Hacquebord on työskennellyt Sanoman kohteekseen ottaneen Pawn storm –verkkovakoilukampanjan parissa vuodesta 2014 alkaen.

Sanoma on ollut yksi mahdollisista kohteista, jotka Trend Micro on raportoinut Viestintäviraston kyberturvallisuuskeskukselle.

Poikkeuksellista tapauksessa on se, että hyökkäyksen takana uskotaan olevan valtiollisia tahoja. Useiden tietoturva-asiantuntijoiden mukaan valtaosa vakoilukampanjan kohteista on ollut linjassa Venäjän poliittisten mielenkiinnon kohteiden kanssa.

Hyökkääjät ovat perustaneet uuden sähköpostipalvelimen kaltaisen sivuston. Sanoman tuolloin käyttämään osoitteeseen eroa on ollut vain sen verran, että yhden pisteen tilalla on ollut väliviiva.

Väärennetty kirjautumissivusto on luotu 24. elokuuta 2015. Hyökkääjät ovat salanneet huijaussivuston samalla SSL-salauksella, jota aitokin verkkosähköposti käyttää. Näin sivustolla vieraileva ei saa ilmoitusta, ettei sivustoon ehkä kannattaisi luottaa, kuten ilman salausta toimivan sivun kohdalla. Käyttäjä on luottavaisempi, ja hyökkäyksellä on paremmat mahdollisuudet onnistua.

”Nämä asiat ovat vahva näyttö siitä, että Pawn storm –kampanjan toteuttajat perustivat väärennetyn sähköpostipalvelimen”, kertoo Feike Hacquebord.

”Toimintatapa on linjassa Pawn storm –kampanjan kanssa. Sen toteuttajat tekevät saman aina uudestaan, viimeksi nyt toukokuussa Angela Merkelin puolueen CDU:n työntekijöille. Aiemmin myös Tanskan armeijaa on yritetty vakoilla näiden sähköpostipalvelinten avulla kahdesti.”

Sanomalle perustettu valesähköpostisivusto on rekisteröity samalle palveluntarjoajalle, jota Pawn Strom –verkkovakoilukampanjan toteuttajat ovat käyttäneet useissa aiemmissa vakoilutapauksissa.

Yleensä hyökkäykset tapahtuvat siten, että hyökkääjä lähettää kohdennetusti muutamalle organisaatiossa työskentelevälle ihmiselle huolellisesti alkukielellä muotoillun sähköpostin. Sähköpostissa tarjotaan linkki, jonka kautta käyttäjä ohjataan kirjautumaan verkkosähköpostiin. Aidon oloinen linkki vie kuitenkin hyökkääjän sivulle, johon käyttäjätunnus ja salasana täten tallentuvat. Sitä kautta hyökkääjä pääsee uhrin oikeaan sähköpostiin.

Sanomalla ei ole näyttöjä siitä, että kyseisen verkkokampanjan tekijät olisivat lähettäneet Sanoman työntekijöille tarkoin kohdennettuja kalastelusähköposteja. Sisäisten muutosten johdosta valtaosa sähköposteista elokuulta 2015 on jo tuhoutunut.

Sanoma-konserni ei ole verkkohyökkääjien ainoa suomalainen kohde. Trend Micron mukaan mukana on joitakin suomalaisia yksityishenkilöitä sekä Suomeen ulkomailta muuttaneita ihmisiä.

Vastaava Outlookin verkkosähköpostin väärennös on havaittu jo vuonna 2014 saman verkkovakoilukampanjan käytössä: Trend micro kertoo tapauksista, joissa sillä yritettiin monimutkaisella yhdistelmällä uutislinkkejä ja haitallista koodia harhauttaa uhreiksi muiden muassa Yhdysvaltojen puolustusministeriön pahamaineisen alihankkijan Academin (ent. Blackwater) työntekijöitä.

Sanoma-konsernin teknologiajohtaja Kai Taka-aho vahvistaa Trend Micron kertoman.

”Yrityspuolella verkkovakoiluyrityksiä esiintyy laajasti, ja vakavia asioita nämä ovat kun niitä eteen tulee”, Taka-aho sanoo. ”Seuraamme ja tutkimme näitä oma-aloitteisesti ja pidämme tarvittaessa viranomaiset ajan tasalla. Olemme myös kouluttaneet henkilöstöämme tietoturva-asioissa aivan viime aikoina.”

Taka-ahon mukaan Sanomalla ei ole tullut ilmi viitteitä siitä, että konserniin olisi aiemmin kohdistunut valtiollista alkuperää olevia verkkovakoiluyrityksiä.

”Tämä kuitenkin kertoo, että Sanomaan kohdistuu mielenkiintoa. Kohteena oleminen ei vaikuta liiketoimintaamme tai sisältöihimme.”

Sisäisten muutosten vuoksi valtaosa sähköposteista elokuulta 2015 on jo tuhoutunut.

”Raportoidun verkkovakoilukampanjan ajankohdan jälkeen olemme jo siirtyneet esimerkiksi uuteen sähköpostijärjestelmään, jossa on aiempaa kehittyneemmät tietoturvakäytännöt. ”

Sanoma-konserni ei ole verkkohyökkääjien ainoa suomalainen kohde. Trend Micron mukaan mukana on joitakin suomalaisia yksityishenkilöitä sekä Suomeen ulkomailta muuttaneita ihmisiä.

F-Securen tutkimusjohtaja Mikko Hyppönen on yllättynyt Sanoman joutumisesta verkkovakoilukampanjan kohteeksi.

Juuri hyökkäystapa on Hyppösen mukaan epätyypillinen. Samaa korostaa Taka-aho. Vaikka suomalaisiin mediataloihin on kohdistunut palvelunestohyökkäyksiä, ja pankkitunnuksia kalastelevia sähköposteja saapuu ainakin HS:n yleisiin sähköpostiosoitteisiin viikoittain, verkkovakoilu on luonteeltaan salamyhkäisempää, vaikeammin havaittavaa ja sen toteutustapa ja päämäärät monimutkaisempia.

Tietoja varastava verkkovakoilukampanja eli APT pyrkii tunkeutumaan sisäverkkoihin ja palvelimille sekä hankkimaan niiden kautta haltuunsa informaatiota. Kuka tahansa voi osoittaa mieltään hetken mielijohteesta palvelunestohyökkäyksellä, kun taas oikeudeton tunkeutuminen edellyttää suunnitelmallisuutta.

APT on lyhenne sanoista advanced persistent threat, vapaasti suomennettuna monimutkainen ja pitkäkestoinen uhka tai hyökkäys. Sellaisen toteuttaminen on tyypillisesti paitsi hidasta, myös kallista.

Trend micron ja useiden muiden samaa kampanjaa eri nimellä tutkineiden tietoturvayritysten mukaan verkkovakoilun osaaminen ja laajuus viittaavat siihen, että toiminta on valtiollista alkuperää.

Täyden varmuuden saaminen teknisen näytön avulla on vaikeaa ellei mahdotonta, joten johtopäätöksiä voi yrittää tehdä kohteiden avulla.

Kevään 2016 mittaan Pawn storm -kampanjan vakoiluyrityksiä on kohdistunut erityisesti Turkkiin. Muita kohteita ovat olleet esimerkiksi useiden maiden puolustusministeriöt, yleisradioyhtiöt ja diplomaattistatuksella työskentelevät sotilasasiamiehet.

Suojelupoliisin tietoon tuli vuoden 2015 aikana sen tietoon tuli useita verkkovakoilutapauksia tai ”kyberoperaatioita”, joiden taustalla epäillään olevan valtiollisia toimijoita.

Helsingin Sanomat on osa Sanoma-konsernia. Sanomalla on noin 7500 työntekijää Suomen lisäksi Puolassa, Belgiassa, Hollannissa ja Ruotsissa.

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    1. 1

      Professori Markku Kivinen: Putin lähetti lehdistötilaisuudessa piiloviestin Suomelle

    2. 2

      23-vuotiaalla Jami Särkisellä on kaksi tyttöystävää ja hän nauttii siitä niin, ettei yksiavioisuuteen ole paluuta – Polyamoria eli monisuhteisuus yleistyy

    3. 3

      Seksuaaliseen häirintään törmää Helsingissä kaikkialla

    4. 4

      Presidentti Niinistö esitti onnistuneesti jäyhää länsisuomalaista äijää – samalla hän viestitti Putinille, että Suomi kuuluu länteen

    5. 5

      ”Lapsena silvottu nainen ei välttämättä tiedä, miltä sukuelimien tulisi näyttää” – Britanniassa silpomisesta saa kovan rangaistuksen, Suomessa ei ole edes silpomisen kieltävää lakia

    6. 6

      Britannian prinssi William lopettaa työnsä ambulanssilentäjänä – keskittyy nyt kokonaan kuninkaallisiin tehtäviin

    7. 7

      Helsingillä on kymmeniä rapistuvia arvohuviloita, joita ei saada järkevään käyttöön – Villingin mökkivaltaus kertoo kaupungin hitaudesta

    8. 8

      Putin arvosteli USA:ta Punkaharjulla: ”On mahdotonta sietää loputtomiin häikäilemättömyyttä maatamme kohtaan” – Niinistö sanoi vastaan venäläistoimittajalle

    9. 9

      Treffailussa on edelleen yksi kammottavan vanhanaikainen piirre: Deiteillä nainen odottaa miehen hoitavan kaiken

    10. 10

      Niinistö ja Putin kävivät oopperassa Putinin Suomen-vierailun päätteeksi – faniseurue kiljahteli ja heilutti Venäjän lippua, kun he näkivät vilauksen Putinista katsomossa

    11. Näytä lisää
    1. 1

      23-vuotiaalla Jami Särkisellä on kaksi tyttöystävää ja hän nauttii siitä niin, ettei yksiavioisuuteen ole paluuta – Polyamoria eli monisuhteisuus yleistyy

    2. 2

      Treffailussa on edelleen yksi kammottavan vanhanaikainen piirre: Deiteillä nainen odottaa miehen hoitavan kaiken

    3. 3

      Professori Markku Kivinen: Putin lähetti lehdistötilaisuudessa piiloviestin Suomelle

    4. 4

      Huumeita myydään avoimesti Helsingin Torkkelinmäellä – HS vieraili puistossa, jossa huumekauppa asukkaiden mukaan rehottaa

    5. 5

      Näin suomalaiset yrittävät petkuttaa Kelaa – viime vuonna kiinni jäi lähes pari tuhatta huijaria, keskimääräinen vedätys 4 200 euroa

    6. 6

      Lappiin matkalla oleva kaupunkifillari hämmensi Hämeenlinnassa – ”Mies otti valokuvia ja uhkasi lähettää ne poliisille”

    7. 7

      Olen nähnyt miehiä tyydyttämässä itseään metron penkillä ja uimahalleissa – ei ole Sompasaunan vika, jos lauteilla irstaillaan

    8. 8

      Finland, dit borde man åka – ruotsalaisten tietämättömyys Suomesta onnistuu yhä välillä hätkäyttämään

    9. 9

      Niinistö ja Putin kävivät oopperassa Putinin Suomen-vierailun päätteeksi – faniseurue kiljahteli ja heilutti Venäjän lippua, kun he näkivät vilauksen Putinista katsomossa

    10. 10

      Putin arvosteli USA:ta Punkaharjulla: ”On mahdotonta sietää loputtomiin häikäilemättömyyttä maatamme kohtaan” – Niinistö sanoi vastaan venäläistoimittajalle

    11. Näytä lisää
    1. 1

      Pikkupojat surmasivat 4-vuotiaan leikkitoverinsa, väitti Ruotsin poliisi vuonna 1998 – ”Tapaus Kevinin” esitutkinta-aineisto tuli vihdoin julki, ja lähes kaikki siinä viittaa veljesten syyttömyyteen

    2. 2

      23-vuotiaalla Jami Särkisellä on kaksi tyttöystävää ja hän nauttii siitä niin, ettei yksiavioisuuteen ole paluuta – Polyamoria eli monisuhteisuus yleistyy

    3. 3

      Lilli Pukka, 28, on ollut ilman parisuhdetta 10 vuotta ja järjestää ”mää-juhlat” juhlistaakseen sitä – tyytyväiset sinkut voidaan kuitenkin kokea itsekkäinä tai jopa uhkana, sanoo asiantuntija

    4. 4

      Sompasaunassa on ahdasta, alastonta ja aitoa – ”Helsinki on paljon siistimpi kuin Tukholma”

    5. 5

      Ruokatoimittaja ja viestintäyrittäjä Elina Jyväs kuoli 40-vuotiaana

    6. 6

      Lappiin matkalla oleva kaupunkifillari hämmensi Hämeenlinnassa – ”Mies otti valokuvia ja uhkasi lähettää ne poliisille”

    7. 7

      Mies tyydytti itseään sekasaunassa, toinen kommentoi naisten vartaloita – seksuaalinen häirintä varjostaa Sompasaunaa

    8. 8

      ”Naamat” on kuin tuhannen ihmisen kotibileet – Tältä näyttää festivaalilla, joka suututti Sami Hedbergin managerin ja jonka liput myytiin loppuun ennen kuin esiintyjiä oli edes julkistettu

    9. 9

      Jos alamme tuomita toisiamme kuvottavien mutta yksityisiksi tarkoitettujen sanomisten vuoksi, olemme matkalla takaisin keskiajalle

    10. 10

      Shanghaissa mitattiin korkein lämpötila 145 vuoteen – Kiinassa on niin kuuma, että ihmiset ovat alkaneet tapella ja panda vaipui transsiin

    11. Näytä lisää