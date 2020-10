Kansainvälinen tietoturva-asiantuntija muistuttaa, että usein tietoturvapoikkeamiin liittyy sisäpiiriläinen. Mikä on kiristäjän motiivi? Onko tekijöitä enemmän kuin yksi?

Psykoterapiakeskus Vastaamoon tehtiin tietomurto lähes kaksi vuotta sitten. Syyskuussa Vastaamoa ryhdyttiin kiristämään, ja asia tuli julki viime viikolla. Viikonloppuna tapauksessa ryhdyttiin kiristämään myös Vastaamon asiakkaita, ja alle viikko asian julki tulon jälkeen rikosilmoituksia oli tehty noin 15 000.

Uhreja, joiden potilaskertomukset ovat vuotaneet, voi olla jopa 40 000.

Kuka tietomurtoon ja lukuisiin kiristämisiin ryhtyy? Onko tekijöitä enemmän, ja vaihtuivatko tekijät viikonloppuna? HS kokosi yhteen mitä tekijästä tai tekijöistä tiedetään ja sen, mitä vähän tiedon avulla voidaan päätellä.

Vastaamoa kiristänyt tekijä tai tekijäryhmä todennäköisesti möhli tai vaihtoi suunnitelmaa.

Perjantaiaamuna kiristäjän sivustolle pimeään verkkoon ilmestyi Vastaamoa kiristäneen tahon julkaisemana tiedosto, joka oli tekniseltä kooltaan kymmenen gigatavua. Noin seitsemän tuntia jakelussa olleessa tiedostossa oli huomattavasti enemmän potilastietoja kuin jo sitä ennen julkaistut 300 nimeä. Tämä oli kiristäjältä keskeinen virhe, sillä levitessään tieto menettää arvonsa sekä myynnissä että kiristämisen kannalta.

Kansainvälisen tietoturvayhtiö Trend Micron strategiajohtaja Eric Skinner arvioi, että kiristäjä saattoi yksinkertaisesti muuttaa mieltään.

”Kiristäjä on voinut tässä kohtaa oivaltaa, että parempiakin rahastusmahdollisuuksia on kuin julkinen jakaminen, tai esimerkiksi saada muilta verkkorikollisilta neuvoja”, Skinner sanoo Helsingin Sanomille.

Vakaalta harkinnalta ison tietomäärän vuotaminen ei kuitenkaan vaikuta. F-Securen tutkimusjohtaja Mikko Hyppönen on arvioinut, että kyseessä on ollut selkeä virhe. ”Kiristäjän kaikkein tärkein omaisuus on kiristystilanteessa on se data, minkä hän on vienyt. Perjantaina se oli muutaman tunnin kenen tahansa imuroitavissa”, Hyppönen sanoi.

Hyppönen arvioi, että kyseessä oli puhdas vahinko. Kiristäjä saattoi esimerkiksi sekoittaa tiedostojen tiedostonimet keskenään ja laittaa jakoon väärän tiedoston.

Tekijä on tai tekijät ovat ammattitaitoisia koodauksessa.

Tämä tiedetään siitä että perjantaiaamuna pimeään verkkoon jätetystä paketista löytyi python-koodia, jota on käytetty tietokannan hakemiseen Vastaamolta. HS:n haastattelemien asiantuntijoiden mukaan se on ollut varmuudella tietomurtajan itse koodaamaa.

Monet koodauksen parissa työskentelevät ovat arvioineet kyseisen koodinpätkän nähtyään, että jälki on siistiä ja jopa ammattimaista.

Tämä ei kuitenkaan tarkoita, että kiristäjä olisi koodauksen ammattilainen.

Onko takana hakkeriryhmä vai yksilö?

Tekijä tai tekijöiden ryhmä on käyttänyt itsestään muotoa ”me”. Tämä ei vielä tarkoita mitään, sillä useampi yksittäinen hakkeri on ennenkin välittänyt samaa yrittäessään peittää jälkiään. Tekijöitä voi olla useita. Mitään varmuutta siitä, että Vastaamoa kiristänyt taho tai tahot olisivat samoja kuin se joka lähetti kiristysviestit Vastaamon potilaille, ei ole.

Pimeän verkon keskustelupalstalle jätettiin torstaina Vastaamoa kiristäneen nimimerkin nimissä englanninkielinen viesti, jossa etsittiin kääntäjää jotta Vastaamon asiakkaisiin voitaisiin ottaa yhteyttä. On mahdollista, että tässä vaiheessa tekijä on vaihtunut.

Onko tekijä ollut kaikissa vaiheissa ajan sama?

Tästä ei ole mitään varmuutta. Tapauksessa tekijä tai tekijäryhmä on voinut vaihtua jopa kahteen otteeseen: ensin tietomurron ja Vastaamon kiristämisen välillä, mutta myös Vastaamon kiristämisen ja Vastaamon uhrien kiristämisen välillä.

Ensinnä: Vastaamoon on voinut tehdä tietomurron marraskuussa 2018 ja maaliskuussa 2019 yksi tietomurtaja tai murtajien porukka. Niitäkään ei ole välttämättä tehnyt sama tekijä tai tekijätiimi, vaan sana herkullisesta kohteesta on voinut kiertää verkon alamaailmassa. Todennäköisemmin kaksi tietomurtoa on tehnyt sama tekijä, sillä jos saatavan potilasrekisterin arvo on ymmärretty, ei muita ole kannattanut päästää apajille.

Tietomurron jälkeen potilasrekisteri on saatettu myydä, jopa enemmän kuin kerran. Viimeisimmän tietomurron ja kiristämisen välillä kulunut pitkä aika, puolitoista vuotta, voi viitata siihen että rekisterin sai haltuun joku joka ei ymmärtänyt sen arvoa. Tällainen voisi olla esimerkiksi ulkomainen tietomurtaja.

Vastaamon kiristäjäksi esittäytynyt verkkokirjoittaja on antanut pimeässä verkossa ymmärrtää, ettei ollut huomannut mitä tuli murrettua. Mikäli Vastaamon kiristäjän ei-suomalaista alkuperää tukisivat muutkin seikat, tämä olisi mahdollista. Suomen ja suomalaisen yhteiskunnan tuntemisesta sen sijaan on muita viitteitä.

Toiseksi: tekijä tai tekijät ovat voineet vaihtua myös Vastaamon kiristämisen ja Vastaamon asiakkaiden kiristämisen välillä. Vastaamon kiristäjäksi itseään väittänyt verkkokirjoittaja etsi pimeässä verkossa torstaina käännösapua lähestyäkseen Vastaamon asiakkaita. Vaikka on mahdollista että pimeään verkkoon kirjoittelu oli tekijän hämäys, on mahdollista myös että käännösapua todella tarvittiin. Suomen kieltä osaamaton Vastaamon kiristäjä on voinut tässä vaiheessa antaa tai myydä hankkeen kotimaisempiin käsiin.

Onko tekojen taustalla suomalainen tai suomalaisia?

Moni asia viittaa siihen, että ainakin suomenkielentaitoista väkeä on tai on ollut kiristyshankkeessa mukana, useammassakin vaiheessa.

Ensimmäisenä kotimaiseen alkuperään tai ainakin suomalaisen yhteiskunnan ja kulttuurin tuntemukseen viittasi se tosiasia, että Vastaamoa kiristänyt taho tiesi millä keskustelupalstoilla suomalaista hakkerointikeskustelua käydään. Yksi näistä on Ylilauta, johon Vastaamon kiristäjä kertoi tekemisistään ensimmäisenä. Toinen on pimeän verkon suomenkielinen keskustelu.

Suomenkielentaitoisen tai -taitoisten mukana oloon viittaa toiseksi se, että Vastaamon asiakkaille lähetetyt kiristyssähköpostit olivat suomenkielisiä. Niissäkin oli pieniä kielivirheitä, mutta käännöskoneen tuotetta ne eivät olleet.

Kolmantena viittaus Suomeen tekijän tai tekijöiden toiminnassa on se, että Vastaamon asiakkaille lähetetyissä kiristysviesteissä heitä neuvottiin käyttämään suomalaista bitcoin-välittäjä Bittirahaa, joka on kuitenkin Ilta-Sanomien mukaan estänyt osan uhrien lähettämistä maksuista.

Onko kyseessä ammattilainen vai ei?

Vastaamoon tehdyn tietomurron toteutustapa ei ole edellyttänyt erityisen suurta hakkerointitaitoa, harvinaisten haavoittuvuuksien tuntemista tai vaativien hakkerointityökalujen käyttöä. Murto on HS:n haastattelemien asiantuntijoiden mukaan tapahtunut todennäköisesti internetiin auki olleelle palvelimelle ja ollut perin yksinkertainen.

Jos Vastaamoon olisi iskenyt verkossa teollisessa mittakaavassa toimiva, ammattimainen kiristäjäporukka, se ei olisi kirjoitellut asiastaan suomenkielisille verkkopalstoille. Se olisi automatisoinut kaikki toimintonsa, käyttänyt erittäin todennäköisesti kiristyshaittaohjelmaa ja lukinnut Vastaamon tietoverkoista mahdollisimman suuren osan saadakseen vastineeksi rahaa.

Tämäkin voi tietysti vielä tapahtua, mutta liittyisi silloin Vastaamoa kohdanneeseen julkisuusmylläkkään jossa on käynyt ilmi että Vastaamon tietoturvassa on ollut merkittäviä puutteita.

Sen lisäksi että Vastaamon kiristäjä julkaisi perjantaina ehkä jopa kaikki hallussaan olleet tiedot, epäammattimaisesta hätiköinnistä kielii myös se, että kiristäjä joutui lähettämään Vastaamon asiakkaille kaksi eri sähköpostia. Ensimmäisessä sähköpostissa oli toimimaton linkki. Tämän olisi havainnut, jos olisi lukenut sähköpostin huolella läpi ennen sen lähettämistä.

Onko motiivina jotain muuta kuin raha?

Kiristyksen kohde oli kuitenkin alunperin Vastaamo. Kun siltä ei saatu rahaa, kiristystä jatkettiin melko työläällä tavalla siirtymällä Vastaamon asiakkaisiin. Samalla kiristyksen jatkuminen varmisti sen, että Vastaamoon kohdistuu negatiivista huomiota. Siksi on mahdollista, että koko vyyhdin motiivi liittyy nimenomaan Vastaamoon.

Trend Micron strategiajohtaja Eric Skinner korostaa, ettei tiedä Vastaamon tapauksen teknisiä yksityiskohtia riittävän tarkasti arvioidakseen motiivia.

”Mutta suureen osaa tietoturvaan liittyvistä tapauksista tosiaan liittyy sisäpiirin toimijoita. Tämä kyllä edellyttäisi tiettyä teknisen osaamisen tasoa tai määrätietoista toimintaa ulkopuolisten hakkerien palkkaamiseksi”, Skinner arvioi.

”Yleisellä tasolla on kyllä hyvin mahdollista, että tässä on kyseessä ulkopuolinen tekijä tai tekijät.”

Helsingin Sanomat on nähnyt tietomurrossa vuodetun listauksen, jossa oli noin 300 ihmisen nimitietoja ja heihin liitettyjä tiedostoja. HS ei ole avannut listan takaa avautuvia tietoja. HS:n päätoimittajat Kaius Niemi, Anu Ubaud ja Antero Mukka vetosivat sunnuntaisessa yhteiskirjoituksessaan, ettei tätä arkaluonteista aineistoa tule lukea tai jakaa.