Suomalaisten ministeriöiden verkkosivut kaatoi hyökkääjä nimeltä Ahneus, joka on ollut Ukrainan kimpussa jo kolmesti

Palvelunestohyökkäykset ulkoministeriötä vastaan jatkuivat vielä tiistaina. Amerikkalaisyritys ennustaa, että seuraavaksi Suomeen voi kohdistua kyberhyökkäyksiä dataa tuhoavilla haittaohjelmilla.

Palvelunestohyökkäys Suomen ulkoministeriön ja puolustusministeriön verkkosivuille sattui samalle päivälle kuin Ukrainan presidentin Volodymyr Zelenskyin puhe eduskunnalle.

14.4. 15:17

Kun Ukrainan presidentti Volodymyr Zelenskyi viime viikolla puhui Suomen eduskunnalle, kohdistui puolustusministeriön ja ulkoministeriön verkkosivuihin voimakas palvelunestohyökkäys.

Yhdysvaltalaisen Security Scorecard -yhtiön mukaan ministeriöihin kohdistunut palvelunestohyökkäys tehtiin samalla bottiverkolla, jolla on hyökätty Ukrainan valtionhallinnon ja pankkien kimppuun.

Security Scorecard (SSC) on antanut maaliskuussa tunnistamalleen bottiverkolle nimen Zhadnost (žadnost). Sana on venäjää ja tarkoittaa ahneutta.

SSC:n mukaan verkon palvelunestohyökkäysten kohteina ovat kolmeen eri otteeseen olleet seuraavat ukrainalaiset verkkosivut: Ukrainan ulko-, sisä-, ja puolustusministeriöt, Ukrainan turvallisuuspalvelu ja ministerikabinetti eli valtioneuvosto sekä ukrainalaiset pankit Oschadbank ja Privatbank.

Ukrainaan kohdistuneet palvelunestohyökkäykset tapahtuivat 15, 23, ja 28. helmikuuta. Ne olivat riittävän voimakkaita kaatamaan verkkosivuja, mutta eivät aiheuttaneet pysyviä vahinkoja.

SSC:n mukaan suomalaisministeriöihin 8. huhtikuuta kohdistunut hyökkäys oli identtinen ukrainalaisiin kohteisiin 15. helmikuuta kohdistuneen hyökkäyksen kanssa.

Ukrainan puolustusministeriö siirsi viestintänsä Facebook-sivulleen 15. helmikuuta.

Palvelunestohyökkäys on koneellisella haittaliikenteellä aiheutettu verkkosivuun tai palvelimeen kohdistuva ”liikenneruuhka”. Kun tarpeeksi suuri määrä liikennettä kuormittaa esimerkiksi samaa verkkosivua yhtä aikaa, sivu ei toimi.

Ulkoministeriön tietoturvapäällikkö Matti Parviainen ei kommentoi SSC:n löydöksiä, mutta kertoo että palvelunestohyökkäykset ministeriön sivuille ovat jatkuneet.

”Lauantaina, sunnuntaina ja tiistaina oli pieniä hyökkäyksiä. Aivan tyypillistä tämä ei ole, eli tilanne on jollain tapaa jatkunut”, Parviainen sanoi torstaina.

Parviainen kertoo, että perjantaina ulkoministeriön sivuille kohdistui 9,3 miljoonaa koneellista pyyntöä minuutissa. Seuraavat hyökkäykset ovat olleet huomattavasti pienempiä, noin 200 000–300 000 koneellista pyyntöä minuuttia kohden.

Ulkoministeriö on tehnyt ainakin perjantain hyökkäyksestä rikosilmoituksen.

Bottiverkko tarkoittaa tietokoneita tai muita verkkoyhteydellä varustettuja laitteita, joissa olevien haavoittuvuuksien takia ne on hakkeroitu. Hakkeroituja laitteita käytetään hyväksi suunnaten niiden tietoliikennetehoja valikoitua kohdetta, kuten ministeriön verkkosivuja, vastaan.

SSC-yhtiön mukaan yli 80 prosenttia Suomen ulkoministeriöön ja puolustusministeriöön kohdistuneesta hyökkäysliikenteestä tuli hakkeroitujen, Mikrotik-merkkisten reitittimien kautta. Aktiivisimmat botit olivat Bangladeshissa ja Afrikan maissa. Hyökkäyksessä käytettiin 350 eri ip-osoitetta. SSC pitää huomion arvoisena, että yksikään hyökkäysliikenteen osoitteista ei sijannut Venäjällä tai Valko-Venäjällä.

Yhtiön mukaan on kohtalaisen varmaa, että Ukrainaan ja Suomeen kohdistuneiden hyökkäysten järjestäjä ja bottiverkon käyttäjätaho on Venäjä.

Lue lisää: Palvelun­estohyökkäys ministeriöön on uhkauksien höyhensarjaa – nähtiinkö perjantaina ensimmäinen varoitus?

”On todennäköistä, että hyökkääjä oli tietoinen siitä, että hyökkäyksellä on vain pieni vaikutus mutta toteutti sen silti, koska hyökkäys palvelee toista tavoitetta – sen oli tarkoitus olla varoitus Suomelle ja sitä kautta myös Ruotsille”, SSC kirjoittaa.

Varoittavaan johtopäätökseen tultiin myös Suomessa, sillä saman päivän aamuna Venäjä myös loukkasi Suomen ilmatilaa. Suojelupoliisin päällikkö Antti Pelttari kommentoi palvelunestohyökkäyksiä alkuviikosta Yleisradion A-studiossa, että vastaavaa voi olla luvassa lisää.

”Ne olivat odotettuja mutta siinä mielessä vaarattomia, etteivät ne aiheuta vahinkoa. Näihin Suomessa on hyvin varauduttu", Pelttari sanoi.

Pelttarin mukaan Suomessa on varauduttava mahdolliseen Venäjän vaikuttamiskampanjaan, mutta erityisesti kriittisen infrastruktuurin toimijoiden on oltava verkossa tarkkana. Kriittisellä infrastruktuurilla tarkoitetaan yhteiskunnan elintärkeiden toimintojen ylläpitämisen kannalta välttämättömiä rakenteita ja palveluja, esimerkiksi energiantuotantoa, liikennettä ja tietoliikennettä, logistiikkaa ja vesihuoltoa.

Myös amerikkalaisella SSC:lla on ennuste Suomelle. Kun Suomen pyrkimys kohti Nato-jäsenyyttä etenee, on yhtiön mukaan todennäköistä, että verkkohyökkäykset eivät pelkästään jatku vaan myös pahenevat.

”Jos historian kuuluu toistaa itseään, seuraava näytös Venäjän verkkouhkien pelikirjassa ovat dataa pyyhkivät [haittaohjelmien] hyökkäykset, mahdollisesti kriittistä infrastruktuuria tai valtionhallintoa vastaan.”

Seuraa ja lue artikkeliin liittyviä aiheita

Osaston uusimmat

Luitko jo nämä?

Osaston luetuimmat