Hoppa till huvudinnehåll

Inrikes

Så här fungerar Putins hackararmé som infiltrerar också finska företag

Ett bildkollage på tre vita män som alla ser in i kameran.
Bildtext Aapo Cederberg, Erka Koivunen och Arttu Leppälä är alla experter inom datasäkerhet. De anser att FInland borde vara mer på sin vakt då det kommer till cybersäkerhetsfrågor.
Bild: Jyrki Ojala, Jyrki Lyytikkä. Kuvamanipulaatio: Joonas Haverinen / Yle

Ryska hackare försöker ständigt ta sig in i system som är viktiga ur ett finskt säkerhetsperspektiv. Enligt experterna har de redan lyckats flera gånger.

Allt börjar med att du klickar på en länk i ett mejl som ser ut att ha skickats av din arbetsgivare. Du kanske vanligtvis är på din vakt, men dagen har varit lång och namnet på filen du öppnar verkar ha att göra med dina arbetsuppgifter.

I verkligheten har du utsatts för en spjutfiskeattack (spearphishing). Det är ett av knepen en främmande nations aktörer kan ta till för att komma in i program som är viktiga för ett lands säkerhet.

Det här händer regelbundet i Finland, och speciellt för vårt land är att attacken ofta kommer från ryskt håll. Offentligt talas det ändå väldigt sällan om attackerna.

– En grov uppskattning är att attacker mot kritiska instanser i Finland gått upp med 30 procent sedan Ryssland inledde sitt anfallskrig mot Ukraina, säger Aapo Cederberg, vd på cyberbolaget Cyberwatch Finland.

Aapo Cederberg på Cyberwatch Finland poserar framför kameran. Han ler smått.
Bildtext Ryska cyberattacker är till för att skapa rädsla och slå ut västerländsk infrastruktur, berättar Cyberwatch Finlands vd Aapo Cederberg
Bild: Jyrki Ojala/YLE

För allmänheten syns främst överbelastningsattackerna.

De är irriterande, men utgör sällan något större hot. Värst är dataintrången, där hackaren försöker komma över användaruppgifter eller hitta svagheter i systemet som hackas.

En grov uppskattning är att attacker mot kritiska instanser i Finland gått upp med 30 procent sedan Ryssland inledde sitt anfallskrig mot Ukraina.

― Aapo Cederberg, vd på cyberbolaget Cyberwatch Finland

Ryska hackare har redan lyckats infiltrera finska system

Då en ”vanlig hackare” kommer över känslig information, försöker personen oftast tjäna pengar på informationen så fort som möjligt. Ett vanligt knep är att låsa företagets tjänst och kräva en lösensumma för att öppna upp tjänsten igen.

När attacken kommer från en främmande stat kan det ta år innan intrånget upptäcks. Förövaren gör allt för att förbli obemärkt och komma över så mycket information som möjligt.

– Målet är att ha en bestående tillgång till alla kritiska aktörer, säger Mikko Niemelä, vd på datasäkerhetsföretaget Cyber Intelligence House.

De [ryska hackare] är redan infiltrerade i flera organisationer, det kan vi inte förneka.

― Aapo Cederberg, vd på Cyberwatch Finland

Enligt experterna Yle talat med har ryska hackare redan nu tillgång till flera finska organisationers databaser. Hur många företag som blivit hackade vet ingen.

– De [ryska hackare] är redan infiltrerade i flera organisationer, det kan vi inte förneka, säger Aapo Cederberg.

I Ryssland har man sedan länge övat inför ett cyberkrig genom att attackera länder i väst över internet. Det har gjort att västerländska företag satsat allt mer på att upptäcka och stoppa dataintrång.

– Företagen måste också ha en plan för hur man agerar då en hackare redan tagit sig in i systemet och lyckats få med sig program som väntar på ett kommando. För att hitta de här programmen behövs verktyg som fungerar med hjälp av artificiell intelligens, säger Försvarsmaktens samarbetspartner i cybersäkerhetsfrågor Instas vd Henry Nieminen.

Henry Nieminen sitter vid ett bord, iklädd kostym.
Bildtext Företagen måste ha färdiga planer på hur man gör då ett intrång redan skett, säger Henry Nieminen på Insta.
Bild: Insta Group

Säkerhetsexperter har känt sig iakttagna

Säkerhetsexperterna understryker att det inte finns orsak till att drabbas av panik. Företag som har verksamhet inom försörjningsberedskap eller säkerhet bör ändå vara på sin vakt.

– I princip är alla potentiella offer. Vissa är mer intressanta än andra, säger chefen för cybersäkerhet på ett av Finlands största it-bolag CGI Arttu Leppälä.

Så här fungerar nätfiske

  • I nätfiske (på engelska phising) skickas samma meddelande till ett stort antal människor, i hopp om att någon fastnar på kroken.

  • I en spjutfiskeattack (spearphishing) är meddelandet skräddarsytt för mottagaren. Det här gör att en spjutfiskeattack är svårare att upptäcka, och därför lyckas den oftast bättre än nätfiske.

  • Syftet med attackerna är att stjäla användaruppgifter (till exempel lösenord) eller att installera program som kan spionera eller sabotera.

Stater använder sig av samma knep som vilken hackare som helst, men de gör det bättre.

I Ukraina har Ryssland genom spjutfiskeattacker försökt ta sig in i databaser som tillhör armén, medier, teleoperatörer och statsförvaltning. Informationen man kommer över har också samlats med fysiskt spionage.

Liknande fall finns också i Finland. Säkerhetsföretaget Patrias arbetstagare har till exempel uppgett att de varit med om situationer där det känns som att någon följer efter dem. Patrias cybersäkerhetschef Ari Etholén kan ändå inte säga ifall händelserna hör ihop med just rysk spionage.

– Om någon vill göra systemintrång bygger man ofta en profil av sitt offer innan man slår till. Man kartlägger helt enkelt vilken taktik som fungerar bäst på personen eller företaget man vill ha ut information av. Det låter som något ur en film, men i dag är det verklighet.

I princip är alla potentiella offer. Vissa är mer intressanta än andra.

― Arttu Leppälä, chef för cybersäkerhet på CGI

Det är inte bara Ryssland som vill komma åt finsk information. Cyberspionagefallet mot riksdagen 2020 kunde till exempel spåras till Kina. Andra aktiva länder när det kommer till cyberspionage är USA, Iran, Nordkorea och Israel. Finland är ändå sällan prio ett när det kommer till cyberspionage.

För att spåra vem som ligger bakom en cyberattack finns en mängd olika knep experterna tar till. Attackens mål kan avslöja vem som ligger bakom och attackerna lämnar också digitala spår man kan titta närmare på. Också verktygen som används kan avslöja detaljer om attackeraren.

Arttu Leppälä iklädd kostym.
Bildtext Stater använder sig av samma knep som vilken hackare som helst, men de gör det bättre, berättar Arttu Leppälä, chef för cybersäkerhet på CGI.
Bild: Jyrki Ojala/YLE

Finska aktörer vet mer än vad de vågar tala om

Få finländska företag vill prata om cyberattacker som riktas mot dem, speciellt då det gäller ryska attacker.

Yle har inför den här artikeln bett om kommentarer av fem företag som jobbar inom försvarsindustrin. Ett företag tackade nej till intervju, två företag bad om att deras svar skulle anonymiseras.

– Vi vet mer om ryska cyberattacker än vi vill berätta, säger en representant för ett försvarsföretag som anonymiserats.

Tystnaden motiveras med att det alltid är svårt att med hundra procents säkerhet veta vem som står bakom attacken. En annan orsak är att man inte vill avslöja för motparten att man har möjlighet att upptäcka och bekämpa attackerna.

Vi vet mer om ryska cyberattacker än vi vill berätta.

― Representant för försvarsföretag som anonymiserats

– Nuförtiden pratas det mer om cyberattacker, utan försköningar och omskrivningar. Det är en bra sak. Det tar också bort rädslan för attacker, säger Jari Juutilainen som forskat i cyberkrigsföring.

Experter vill ha mer öppenhet också i Finland

I mars i år avslöjade Storbritanniens en stor cyberspionagekampanj som Rysslands federala säkerhetstjänst FSB orkestrerat, högst troligen via hackerkollektivet Berserk Bear.

– Vi riktar sanktioner mot dem som attackerar människor, företag och infrastruktur. Det är vårt budskap till Kreml, sa den dåvarande utrikesministern Liz Truss i samband med avslöjandet.

Experterna Yle talat med anser att också Finland borde gå inför en liknande öppenhet. Till exempel då utrikesministeriet år 2013 drabbades av ryskt cyberspionage var det istället Yle som gick ut med informationen.

– Det här är en kultur som inte tål att hurras för. Min generation kallar det för finlandisering, säger WithSecures datasäkerhetschef Erka Koivunen.

Erka Koivunen från Withsecure står framför ett fönster och ser in i kameran. Han har skägg och glasögon.
Bildtext WithSecures datasäkerhetschef Erka Koivunen har tröttnat på tystnadskulturen.
Bild: Jyrki Ojala/YLE

Aapo Cederberg håller med om att man i Finland inte pratar tillräckligt öppet om ryska cyberattacker.

Vår östra grannes sätt att agera har varit känt enda sedan 2007, då Ryssland använde cyberattacker för att pressa Estland i ett bråk gällande en bronsstaty i Tallinn. Resultatet blev en strategi för hybridkrigsföring, där cyberattacker ingick som en viktig del.

– Men det har vi inte fått säga högt i Finland tidigare. Förutom nu, då masken fallit av, precis som president Sauli Niinistö sa, säger Cederberg.

En stor staty föreställande en soldat med sin hjälm i handen. Han ser ner i marken. Kring statyn finns gravljus och blommor.
Bildtext Massprotester och kravaller uppstod då Estlands regering i april 2007 ville flytta statyn Bronssoldaten. Statyn föreställer en soldat i sovjetisk militäruniform. Många ester ser statyn som en symbol för den sovjetiska ockupationen.
Bild: Sasha Silvala / YLE

Ukrainakriget har visat vad Ryssland går för

En timme innan Ryssland gick in i Ukraina i februari orkestrerade ryska hackare en massiv överbelastningsattack mot ukrainsk satellitteknologi. Det här ledde till att tiotusentals satelliter runt om i Europa slogs ur spel.

I största allmänhet har Ryssland ändå inte åstadkommit så mycket på cyberfronten när det kommer till Ukraina. Ryssland har till exempel tvingats att ta till fysiska vapen då landet velat sabotera ukrainsk energitillförsel eftersom cyberattackerna misslyckats.

De ryska motgångarna kan också bero på att Ukraina haft ett bra cyberförsvar.

– Finland kan lära sig av det här. Det är viktigt att vara väl förberedd, ha uppdateringarna i skick och samarbeta med andra länder, säger Jari Juutilainen som forskat i cyberkrigsföringen.

WithSecures datasäkerhetschef Erka Koivunen håller med.

– Vi har tidigare sett vårt nät som ett av världens säkraste, men så har det inte varit på länge. Långsamt vaknar vi till faktumet att vi ständigt måste tänka på säkerhetsaspekterna för att vara trygga.

Det här är en översättning av Yle Uutisets Näin toimii Putinin hakkeriarmeija, joka on soluttautunut myös suomalaisyrityksiin. Översättningen är gjord av Milli Lindberg.