Kyberaktiivinen Kiina

Internetin käytön ja sovellusten yleistyessä kybersota, laaja hakkerointi tai verkkovakoilu on levinnyt vaarallisella tavalla kattamaan kaikki elämänalat. 1990-luvulla hakkeriryhmät toimivat pääasiassa Venäjältä tai Israelista. Nyt johtava maa on Kiina, missä arvioidaan olevan noin 180 000 kybersoturia. Osa heistä toimii armeijan piirissä ja suuri joukko maan sisäisen turvallisuuden organisaatiossa, mutta on myös irrallisia ryhmiä, joilla on usein yhteyksiä yliopistoihin. Ne liittyvät kuitenkin kaikki löyhästi toisiinsa, ja saatu tieto siilautuu nopeasti poliittiselle johdolle, puolustusvoimille, aseteollisuudelle tai liike-elämän käyttöön.

Vakoilun kohteetkin ovat vuosien mittaan muuttuneet. Aluksi kiinalaiset olivat kiinnostuneita sotilasteknologiasta ja telekommunikaatiosta, mutta myöhemmin mielenkiinnon kohde on laajentunut. Nyt vakoillaan öljy- ja kaasuyhtiöitä, pankkeja ja rahoituslaitoksia. Jopa yritysostojen salaisia taustaselvityksiä hakkeroidaan verkosta, puhumattakaan tiedotusvälineistä. Kiinassa toimivia verkkovakoiluryhmiä kutsutaan APT-ryhmiksi (Advanced Persistent Threats, kehittyneet jatkuvat uhat), jotka numeroidaan yhdestä eteenpäin. Amerikkalainen turvallisuusyhtiö Mandiant on kerännyt laajat tiedostot useista kymmenistä kybersotaa käyvistä ryhmistä, joista 22 toimii Kiinassa.

Suurimman osan Kiinasta tulevista kyberhyökkäyksistä on tehnyt shanghailainen APT 1, joka tunnetaan myös nimellä Comment Crew. Viime vuonna se hakkeroi muun muassa Euroopan neuvoston puheenjohtajan sähköpostia. APT 12 puolestaan on keskittynyt vakoilemaan lähinnä puolustusvälineteollisuutta. Se osallistuu myös propagandasotaan vakoilemalla Yhdysvaltain mediaa, kuten New Tork Timesia, kun kommunistipuolueen johto halusi tietää, mitä lännessä kirjoitetaan Kiinan johtajien varoista ulkomailla. Kiinalaiset pitävät toimintaa luonnollisena. Kansanvapautusarmeijan edustaja totesikin viime vuonna, että ydinsota oli strategista sodankäyntiä massateollisuuden aikana ja kybersota on strategista sodankäyntiä informaation aikakaudella.

Kyber- Pearl Harbor

Kiinalaisten elektroniikkayhtiöiden Huawein ja ZTE:n tuotteita myydään runsaasti Yhdysvalloissa, ja onkin epäilty, että tietyissä laitteissa on takaportti, jota voidaan hyödyntää kybersodassa. Kyseisiä tuotteita on kongressissa jopa vaadittu kiellettäviksi, mutta vuodenvaihteessa ilmestyneen selvityksen mukaan niillä ei kuitenkaan ole ollut osaa eikä arpaa Kiinan viimeaikaisiin kyberhyökkäyksiin. Epäilyt ovat kohdistuneet erityisesti Huaweihin, koska sillä on läheiset ja sameat suhteet kansanvapautusarmeijaan (PLA, People´s Liberation Army).

Yhdysvalloissakin on jo herätty. Viime syksynä silloinen puolustusministeri Leon Panetta puhui huolestuneeseen sävyyn maata uhkaavasta kyber- Pearl Harborista. Pari vuotta valmisteilla ollut kybersotadoktriini saatiin valmiiksi vuodenvaihteessa. Tämä toistaiseksi salainen asiakirja määrittelee edellytykset, joiden vallitessa kybersotaiskuun voidaan vastata perinteisellä kineettisellä vastaiskulla. Doktriini toimii liittovaltiotasolla ja on tarkoitettu suojamaan maan hallintokoneistoa ja infrastruktuuria. Hallituksen Cyber Command Center toimii Virginiassa. Samaan aikaan maan asevoimat kehittävät Yhdysvaltain omaa kyberiskukykyä.

Yksityiselläkin taholla on valmiutta lisätty. Maassa toimii useita suuria haittaohjelmien torjuntayrityksiä, jotka suojaavat talouselämän toimijoita. Tunnetuimpia niistä on Mandiant, jonka tulot vuonna 2012 olivat yli 100 miljoonaa dollaria, kasvua edellisestä vuodesta 76 %. Sen asiakkaisiin kuuluu 30 % maan johtavista Fortune 100 -yhtiöistä. Yrityksen perusti entinen ilmavoimien kyberrikollisuuden tutkija Kevin Mandia yhdeksän vuotta sitten.

Mandiantin tutkijat käyvät läpi koko tutkittavan yrityksen internetliikenteen ja etsivät sieltä vihjeitä ja kaavamaisuutta, joka auttaa selvittämään haittaohjelmien lähteen. Haittaohjelmia torjutaan tutkijayrityksen omalla softalla ja algoritmeillä. Työ on aikaa vievää, sillä hyökkäykset ovat useimmiten fragmentoituja, hajautetusti ohjattuja ja erittäin kehittyneitä. Puolustajan on pystyttävä analysoimaan hyökkääjän logiikka ja käyttäytymismalli, jotta hyökkäyksiin pystyttäisiin varautumaan ja arvioimaan niiden riskit. Kohteen oman verkon saastumisaste voi olla jopa niin korkea, että koko tietokonekanta on uusittava 48 tunnin kuluessa. Haittojen torjunnassa eri yrityksillä on omat kikkansa. Mandiantia ja monia sen kilpailijoita syytetään työmenetelmiensä salailusta, sillä kritisoijien mielestä yhteistä vihollista olisi torjuttava yhteisin keinoin.

Avainsanat: , , ,

Share This