Mediaväite: israelilainen NSO Group käytti suomalaisyhtiön palvelimia kybervakoiluun ja Pegasus-hyökkäyksiinsä
Poliitikkoja, toimittajia ja eri maiden oppositiovaikuttajia urkkinut Pegasus -vakoiluohjelma saattoi iskeä kohteisiinsa suomalaistenkin palvelimien suojista. Suomalaisasiantuntijat arvelevat, että Suomen kautta kulkeva tietoliikenne herättää vastaanottajissa vähemmän epäilyjä kuin diktatuurimaista tuleva virta.
Israelilainen NSO Group on myynyt Pegasus-urkintaohjelmaansa monelle maalle hallinnon vastustajien tarkkailuun. Suomea on käytetty hyökkäyksissä hyväksi.
Israelilaisen NSO Groupin kehittämää Pegasus- urkintaohjelmaa on käytetty ympäri maailmaa poliitikkojen, toimittajien ja aktivistien laajamittaiseen vakoiluun. Tieto paljastui liki 20 median yhteisselvityksestä, jota kutsutaan nimellä Pegasus project.
Pegasusta on myyty useiden maiden tiedustelupalveluille ja viranomaisille. Sen alkuperäinen käyttötarkoitus on yhtiön mukaan terrorismin ja rikollisuuden torjunta. Ohjelmistolla voidaan hakkeroida Android- ja iPhone-puhelimia ilman, että kohteen tarvitsee tehdä mitään. Saastunut puhelin voidaan ottaa haltuun kokonaisuudessaan.
Uudet paljastukset Pegasuksesta koskettavat myös Suomea. Ihmisoikeusjärjestö Amnestyn julkaisemasta teknisestä analyysista selviää, että NSO Group käyttää hyökkäystensä toteuttamiseen sekä Yhdysvalloissa että Euroopassa sijaitsevia palvelimia.
Amnnestyn mukaan NSO Group käytti etenkin yhdysvaltalaisten yritysten Euroopassa sijaitsevia datakeskuksia. Yrityksiin kuuluvat Digital Ocean, Linode ja Amazon Web Services. Tiedon paljastuttua Amazon kertoi lakkauttavansa NSO Groupin käyttämän infrastruktuurin.
Eniten hyökkäyksiin käytettyjä palvelimia oli Saksassa, Isossa-Britanniassa, Sveitsissä, Ranskassa ja Yhdysvalloissa. Niiden jälkeen suurin maa on Suomi yhdeksällä palvelimellaan.
Suomalaisyhtiö ei myönnä, kulkiko Pegasus -hyökkäily heidän kauttaan
Vaikka Amnestyn raportissa ei mainita maakohtaisesti yritysten nimiä, Suomessa sijaitsevien palvelinten määrä vastaa raportissa mainittujen suomalaisen Upcloud Ltd:n verkossa olevien palvelinten määrää.
Upcloudin toimitusjohtaja Antti Vilpponen kertoo Seuralle seuranneensa ilmi tulleita paljastuksia. Hänen mukaansa yhtiö ei voi kommentoida yksittäisiä tapauksia tai vahvistaa, onko tietty yhtiö heidän asiakkaansa.
”Kiellämme haittaohjelmien levittämisen ja vilpillisen toiminnan alustallamme. Mikäli artikkelissa esitetyt väitteet pitävät paikkansa, olemme ryhtyneet tai ryhdymme toimiin tällaisten käytäntöjen torjumiseksi”, Vilpponen sanoo.
Alan asiantuntijat pitävät yhteyttä mahdollisena – eikä tällaisissa tapauksissa palvelinyhtiö ole itse tehnyt mitään rikollista.
”Upcloud on pilvipalvelu, ja siten neutraali sen suhteen, mitä asiakas tekee. Tosin olettaen, ettei yritys ole tietoinen väärinkäytöstä. Tilanne on vähän sama, kuin jos joku vuokraisi auton rikosta tai vakoilua varten. Eihän autovuokraamo tiedä mihin autoa käytetään”, kertoo tietoturvayhtiö F-Securen vanhempi johtava tutkija Jarno Niemelä.
Suomalaistenkin kannattaa varautua vakoiluyrityksiin
Syitä sille, miksi israelilainen NSO Group käytti juuri suomalaisia palvelimia, voi olla monia.
”Sijainti Suomessa saattoi olla sattumaa, tai sitten sillä pyrittiin estämään liikennepohjaista analyysiä. Suomessa tai lähimaissa olevan uhrin laite keskustelemassa suomalaisen palvelimen kanssa ei herättäisi niin helpolla epäilyksiä”, Niemelä sanoo.
Toistaiseksi uudesta vuodosta ei ole paljastunut, että NSO Groupin vakoilua olisi kohdennettu suomalaisiin. Yleisesti ottaen valtiollisilta hyökkäyksiltä on Niemelän mukaan hankalaa suojautua.
”Perusasiat eli päivitykset ja VPN:n käyttö auttavat. Silloin hyökkääjä joutuu käyttämään 0-päivä hyökkäyksiä, jotka ovat kalliimpia kuin päivityksen julkaiseminen ja asentamisen välinen ikkuna. Hyökkääjillä on priorisointi ja ”alennusmyynnin” aikaan kelpaa vähäpätöisempikin kohde”, Niemelä sanoo.
Niemelä korostaa, että Applen päivityksistä muistuttava automaatio on kelvoton ja voi odottaa jopa päiviä, ennen kuin käyttäjä saa tiedon.
”Todennäköisen kohteen on hyvä seurata itse, milloin päivitys tulee saataville ja asentaa se heti”, Niemelä sanoo.
NSO Group on tavoitellut myös Suomen viranomaisia asiakkaikseen
Selvityksen perusteella NSO Groupin asiakkaihin kuuluvat ainakin Arabiemiraatit, Azerbaidžan, Bahrain, Intia, Kazakstan, Meksiko, Marokko, Ruanda, Saudi-Arabia ja Unkari.
Maat ovat käyttäneet Pegasusta paitsi hallintonsa arvostelijoiden ja oppositioihmisten, myös ulkomaisten poliitikkojen ja toimittajien vakoiluun.
Israelilaisyhtiö on takavuosina yrittänyt myydä teknologiaansa myös Suomen viranomaisille, mutta toteutuneista kaupoista ei ole vahvistettavissa olevaa tietoa.
Esimerkiksi New York Timesin toimittaja Nicole Perlroth väittää tänä vuonna ilmestyneessä kirjassaan This is how they tell me the world ends, että suomalaiset olisivat NSO Groupin myyjien kanssa käymässään viestinvaihdossa suhtautuneet innokkaasti yhtiön ohjelmistojen hankintaan.
Kirjassa ei kuitenkaan yksilöidä, mistä henkilöistä tai instansseista on ollut kyse, tai kuinka vakavin aikein suomalaiset ovat olleet liikkeellä.
Esimerkiksi NSO:n myyntipuheita aikoinaan Israelin vienninedistämistilaisuudessa 2016 kuunnellut Puolustusvoimien silloinen johtamisjärjestelmäpäällikkö ja prikaatikenraali Mikko Heiskanen on kertonut Helsingin Sanomille, ettei viranomaisilla olisi ollut tuolloin riittäviä toimivaltuuksia Pegasuksen käyttöön.
Sittemmin Suomi on saanut uuden tiedustelulainsäädännön, ja viranomaisten valtuudet ovat muuttuneet huomattavasti. Viranomaiset eivät ole kertoneet, mitä ohjelmistoja Suomen valtio verkkovalvontaansa käyttää.
Lue myös: Miksi Suomi ei estä vakoilua? Näitä ihmisiä saa vapaasti vaania
Juttua muutettu 22.7. klo 21:51, lisätty maininta uudesta tiedustelulainsäädännöstä.