Suomalaisten ryhmä pommittaa Venäjää verkossa – ”Nämä toimet eivät kuulu rauhanajan oloihin”, sanoo ryhmän jäsen ”Tuukka”

Tuukan unelma on matkustaa Kamtšatkan niemimaalle. Siellä olisi tulivuoria, geysirejä, karhuja, kotkia. Monella tavalla maailman viimeinen koskematon erämaa, puhelias luontokuvauksen harrastaja kertoo.

Nyt täytyy kuitenkin tyytyä Kuusamoon. Kamtšatka on Venäjällä, ja vaikka sota loppuisi, Tuukan on parempi pysytellä sieltä pois.

Kun Venäjä aloitti suurhyökkäyksen helmikuussa, Tuukka päätti alkaa tehdä laittomia verkkohyökkäyksiä Venäjälle.

– Uskon, että venäläisillä on tarpeeksi tietoa, jos he haluavat selvittää henkilöllisyyteni.

Kuusamossa Tuukka on mökkeilemässä. Mukana on Applen kannettava tietokone. ”Mäkilläkin” voisi kuulemma hakkeroida, mutta yleensä hyökkäysten tekemiseen käytetään Lenovon ja Linuxin laitteita. Tuukan Linux on nyt kotona pääkaupunkiseudulla, koska hän yrittää pitää hetken lomaa hyökkäysten tekemisestä.

Tuukka on kuitenkin suostunut näyttämään jotain, joka auttaa ymmärtämään verkkohyökkäysten maailmaa. Koillismaan sade rummuttaa mökin kattoa, kun harmaa läppärin kansi aukeaa.

Ruutuun avautuu Tuukan oikea nimi. Hän esiintyy tässä jutussa muutetulla nimellä, koska henkilöllisyyden paljastumisella voisi olla laillisia seurauksia. Ne eivät Tuukkaa pelota, eivät niin kauan, kun hän on Suomessa.

Tuukan tekemät laittomat hyökkäykset ovat olleet pääosin palvelunestohyökkäyksiä, jotka katsotaan Suomen rikoslaissa tietoliikenteen häirinnäksi. Vaikka häirintä kohdistuisikin Suomen ulkopuolelle, voidaan teosta rangaista myös Suomessa. Rangaistus on sakkoja tai enintään kaksi vuotta vankeutta. Teon ollessa törkeä tuomitaan aina vankeutta.

Tuukka sanoo luottavansa suomalaiseen yhteiskuntaan ja uskovansa siksi rangaistuksen olevan ”asianmukainen”, jos jäisi kiinni Suomessa.

– Varmaan sakkoja. Silloin olisin sen valmis kärsimään.

Itä-Suomen yliopiston rikosoikeuden professori Matti Tolvasen mukaan vaatisi aikalailla ihmettä, että Suomen poliisi alkaisi itsenäisesti tutkimaan ulkomaille tehtyä palvelunestohyökkäystä. Eri asia olisi, jos kohteena olleesta maasta tulee suora tutkintapyyntö.

Siitä Tolvanen on Tuukan kanssa eri mieltä, että rikos sovitettaisiin pelkillä sakoilla.

– Kyllä näihin vakavasti suhtaudutaan. Että eiköhän vankeudesta puhuttaisi aika nopeasti.

Rangaistuksen arviointia vaikeuttaa se, että ennakkotapauksia on hyvin vähän. Tolvanen ei muista yhtäkään.

Oikeus punnitsisi hyökkäyksen haitallisten vaikutusten laajuutta sekä sitä, minne hyökättiin.

– Voisin olettaa, että jos joku oikein ulkomaille ryhtyy hyökkäyksiä tekemään, niin tuskin silloin ihan mihin tahansa hyökätään, Tolvanen pohtii.

Hän osuu oikeaan. Tuukan näytöllä lukee nyt Kreml.ru.

Tuukka tekee niin sanotun nslookup-komennon Kremlin sivuille. Kyseisen komennon tekeminen on laillista, mutta se voisi olla ensimmäinen toimenpide, jos ”haluaa lähteä nuuskimaan, millaisia yhteyksiä kohteeseen on”. Käytännössä komento tuo tietoa kohteena olevasta verkkosivusta.

Nopeasti tietoa onkin. Yhdelle Kremlin sivujen palvelemista näyttäisi osoittavan kolme ip-osoitetta.

Hetken kuluttua ruutuun valuu request timeout -teksti. Pyytämättä Tuukka selittää sen mitä tapahtuu.

– Siellä yritetään mahdollisesti estää palvelunestohyökkäyksiä. Tai sitten sivusto on alhaalla.

Tämä ei yllätä Tuukkaa. Hänen mielestään Venäjän kyberjoukot ovat terästäytyneet sodan edetessä.

– Aluksi vaikutti jopa siltä, että uhkaa ei otettu tosissaan. Joillakin sivuilla oli niin onnettomat suojaukset.

Kremlin sivut olivat ensimmäisiä, joita kansainvälinen hakkeriarmeija kaatoi helmikuussa. Myös energiayhtiö Gazpromin sivut pimenivät vain päiviä sen jälkeen, kun hyökkäyssota alkoi. Niitä Tuukkakin oli kaatamassa.

Nopeiden onnistumisten taustalla on ollut valtava volyymi. Kun Ukrainan varapääministeri Mykhailo Fedorov kutsui Twitterissä ihmisiä osallistumaan kybersotaan, hakkeriarmeija putosi kuin taivaasta.

Kulmakiveksi muodostui viestintäsovellus Telegram ja siellä ryhmä nimeltä It Army of Ukraine. Ryhmään liittyi hetkessä yli 250 000 henkilöä. F-securen tutkimusjohtaja Mikko Hyppönen kommentoi keväällä Ylelle, että hakkeriarmeijan synty on jotain täysin poikkeavaa ja historiallista.

Ryhmässä julkaistaan edelleenkin lähes päivittäin pitkiä listoja venäläisistä nettiosoitteista, joihin vapaaehtoiset hakkerit voivat tehdä hyökkäyksiä. Toisin sanoen ryhmässä avoimesti maalitetaan kohteita, joihin voi hyökätä. Juuri tämä on Hyppösen mielestä poikkeuksellista: valtio pyytää avoimesti siviilejä osallistumaan sotaan laittomin keinoin.

Käytännössä hyökkäykset vaikeuttavat venäläisten arkielämää. Erityisesti kohteena on pankkeja, jotta raha-asioiden hoitaminen olisi vaikeaa. Myös mediasivustot ovat usein kohteena, jotta Venäjän propagandaa ei voisi lukea.

Suurimman Telegram-ryhmän kautta löytää myös toisiin, pienempiin ryhmiin. Yhdessä opastetaan hyökkäystavoista, toisessa jaetaan onnistumisen kokemuksia ja keskustellaan hyökkäysten kohteista.

Toisinaan ryhmiin annetaan tilannepäivityksiä:

”Useat nettipankit ovat olleet alhaalla viime viikosta lähtien. Massiiviset d-dos-hyökkäykset ovat kestäneet jo viisi päivää”, ryhmässä julistettiin elokuussa. Julistuksen yhteyteen kirjoittaja on kerännyt kuvakaappauksia venäläisiltä some-sivuilta, joissa näkyy asiakkaiden ärtyneitä kommentteja sekä pankkien selityksiä tilanteelle.

Tietoturva-asiantuntija Benjamin Särkkä suosittelee mieluummin majoittamaan Ukrainan pakolaisia kotisohvalle kuin ryhtymään vapaaehtoiseen kybersodankäyntiin. Sillä olisi todennäköisesti suurempi vaikutus yksittäisen ihmisen elämään, hän sanoo.

– Hakkereiden toimintaa ei johda kukaan. Siksi sillä on hirveä määrä potentiaalisia riskejä ja ongelmia, jotka eivät ole vielä näkyvissä, Särkkä huomauttaa.

Palvelunestohyökkäysten eli ”dossauksen” lisäksi kansainvälisen hakkeriarmeijan on väitetty onnistuneen myös järeämmissä operaatioissa. Keväällä kerrottiin, että hakkerit ottivat haltuun rautatieverkoston Valko-Venäjällä.

Onnistumisista kerrotaan yleensä näyttävästi sosiaalisessa mediassa, ja niitä nostetaan esiin myös perinteisessä mediassa. Sen sijaan epäonnistumisista ei luonnollisesti huudella. Särkän mukaan kokeneenkin hakkerin on vaikea ennakoida, mihin kaikkeen hyökkäykset loppupeleissä vaikuttavat.

Hän antaa esimerkin. Valtion tietojärjestelmään hyökätessä saatetaan tahtomatta samalla vahingoittaa esimerkiksi potilastietojärjestelmää tai jotain muuta kriittistä yhteiskunnan toiminta-aluetta. Syynä on se, että tietojärjestelmät ovat usein linkitettyjä toisiinsa jaetun infrastruktuurin kautta. Myös esimerkiksi logistiikkaketjut ovat herkkiä häiriintymään.

– Ongelmana on, että kielteisiä vaikutuksia on vieläkin vaikea arvioida, koska luotettavaa tutkimustietoa ei ole.

Särkkä haluaa muistuttaa, että yhdestä hakkeriarmeijasta puhuminen typistää todellisuutta. Oleellista on ymmärtää, että vapaaehtoisten hakkereiden joukossa on monen kerroksen väkeä. Kun jotkut hakkerit pyrkivät ”vain” kaatamaan verkkosivuja palvelunestohyökkäyksillä, toiset tekevät tietomurtoja ja tavoittelevat pääsyä käsiksi infrastruktuuriin.

Suomessa kyberturvallisuuskeskus on verrannut palvelunestohyökkäyksiä liikenneruuhkiin ja katsonut niiden olevan nykyisin harmaalla alueella kyberhyökkäyksen ja informaatiovaikuttamisen välillä.

Tällä hetkellä Särkän päällimmäinen huoli on kuitenkin se, että Ukrainan kybersota luo uusia haitallisia moraalikäsityksiä hakkeroinnista.

– Yhtäkkiä laiton toiminta, tietomurtojen tehtailu ja aktiivinen ihmisten häirintä onkin hyväksyttävää, kun kohteena on Venäjä. Se on tosi erilainen ilmiö, kuin mitä on tapahtunut aikaisemmin, Särkkä sanoo.

Telegram-ryhmässä moraalikysymyksille ei näyttäisi jäävän paljon tilaa. Toisinaan hyökkäyskohteita kuitenkin perustellaan: ”Tämän päivän kohde on Venäjän federaation eläkerahasto. Miksi? Koska sen kautta venäläisten sotilaiden perheet saavat rahaa.”

Pääosin ryhmässä kuitenkin kohotetaan taisteluhenkeä: ”Viikonloppu oli tuottoisa. Teitte hyvää työtä.”

Tuukka sanoo arvanneensa etukäteen, että suomalaiset it-alan asiantuntijat tulevat kritisoimaan verkkohyökkäyksiin osallistuvia vapaaehtoisia.

– Mutta ihan samalla tavalla minäkin haluan sanoa, että jos ette tiedä tarpeeksi, niin älkää missään nimessä osallistuko. Se on ihan oikea viesti, hän varoittaa.

Sekä Tuukka että Benjamin Särkkä uskovat, että hakkeriyhteisössä on todennäköisesti paljon henkilöitä, joiden taidot ovat puutteelliset. Se on riski niin operaatioiden onnistumiselle kuin hakkerin oman henkilöllisyyden suojaamiselle.

Tuukka itse vaikuttaa varsin itsevarmalta. Hän tuntee tietokoneiden toiminnan ”syvällisellä tasolla”.

– Tai sitten olen vain naiivi enkä osaa pelätä, hän naurahtaa.

Tuukka luettelee VPN-yhteydet ja TOR-verkot kertoessaan siitä, miten suojaa henkilöllisyyttään. Tuukka on myös rakentanut oman serverin, jotta hänen jälkeensä jättämä data ei ole kenenkään ulkopuolisen hallussa.

– Jokaisessa näistä on piste, missä sinut voidaan nuuskia. Ja sen eteen voidaan nähdä aika paljonkin vaivaa. Riippuu siitä, kuinka merkittävä kohde olet, hän kertoo.

Tuukka tiedostaa riskit ja puhuu avoimesti vapaaehtoisen kybersodankäynnin vaaroista. Henkilöllisyys voi pahimmassa tapauksessa paljastua ja hyökkäyksillä voi olla arvaamattomia seurauksia.

Tämä tuntuu kaukaiselta verrattuna siihen loputtoman itsevarmaan ja pelottomaan viestiin, jota tunnettu hakkerikollektivi Anonymous välittää. Vihaisesti irvistävä Guy Fawkes -maski on Anonymouksen tunnus.

Tuukan mielestä Anonymous on tehnyt todella tärkeää työtä, mutta hän ei halua tulla liitetyksi siihen. Hänen mielestään Anonymous koittaa luoda imagoa ”näkymättömästä pelottavasta möröstä, joka voisi lahdata internetissä kenet tahansa milloin vain”. Tuukasta se on lapsellista.

Sodan alettua Tuukka teki hyökkäyksiä yhdessä sattumanvaraisesti valikoitujen hakkereiden kanssa. Tuukka oli siis mukana ryhmissä, joiden jäsenistä hän ei tiennyt käytännössä mitään. Ei kansallisuuksia tai taustoja, korkeintaan sen, mikä toisen hakkerin erikoisosaamisalue on.

Vapaaehtoisten hakkeriryhmät ovat avoimia, eikä niihin liittyvien taustoja tai motiiveja voida tarkastaa. Siksi ryhmissä on todennäköisesti huomattavia määriä vihollisen hakkereita, jotka yrittävät selvittää Ukrainan puolella olevien hakkereiden identiteettejä.

Tuukan mukaan vihollisen strategiat yllättävät oveluudellaan. Voi olla todella vaikeaa tehdä jotain vaikuttavaa ja samaan aikaan olla paljastamatta yhtään mitään omaan identiteettiin liittyvää, hän kertoo.

Loppukeväästä Tuukka päätti, että haluaa tehdä hyökkäyksiä vain henkilöiden kanssa, jotka on tavannut kasvotusten.

– Ja jotka ymmärtävät, että operaatioista ei voi liikaa hölistä.

Vaatimus tuntuu jokseenkin koomiselta. Puhuuhan Tuukka itse aiheesta medialle.

– Yleisellä tasolla koen, että kybersodasta on tärkeä puhua. Haluan ihmisten ymmärtävän, että kyberrintama on todellisuutta, eikä jotain kuviteltuja bittejä jossain kaukana. Kaikki olemme osa sitä, alistumme sen uhkille ja mahdollisuuksille. Se on myös se rintama, jolla olemme todennäköisesti kaikkein haavoittuvimpia.

Tuukka löysi muutaman suomalaisen muodostaman porukan. Yhdistävänä tekijänä ryhmän jäsenillä on it-alan koulutus tai työpaikka. Ryhmä keskustelee Tuukan rakentaman serverin kautta.

Kuusamossa viileä ilma höyrystyy hengittäessä. Tuukka sytyttää tupakan mökin kuistilla. Kreml.ru on jätetty rauhaan.

Tuukka on lähipäivinä lähdössä Norjaan kalastamaan ja vaeltamaan. Hän aikoo kuitenkin koko ajan toisella silmällä seurata, mitä sodassa tapahtuu.

Katse on järvelle. Venäjän rajalle on matkaa noin 30 kilometriä. Juttua tulee.

– Pikkupoikana tuli käytyä tuossa rajan takana Paanajärvellä kalassa. Siellähän se Gallen-Kallelakin maalasi.

Tuukka tuntuu tietävän paljon. Eikä ihme. Dostojevskit ja Tolstoit on ”luettu jo pienenä”.

Ja se Kamtšatka. Siitäkin on nippelitieto. Se oli kuulemma lähes koko neuvostoajan täysin suljettu. Ennen vuotta 1989 sinne eivät päässeet edes venäläiset.

Tuukka sanoo lukeneensa paljon myös silloin, kun Venäjä aloitti hyökkäyksensä. Twitteriä ja historiaa. Venäjästä, Ukrainasta ja sodan eskalaatiosta. Hänellä oli aikaa, koska jättäytyi hetkeksi pois päivätöistä. Niin suuri shokki hyökkäys oli.

Puhuessaan nyt aiheesta hän muistaa mainita Georgian, Tšetšenian ja Kadyrovin joukot. Venäläiseen maakaasuun hän viittaa kasuaalisti ”Siperian pieruna”.

Sodasta hankittu tieto sai Tuukan ryhtymään tietokonerikolliseksi. Tai kyberaktivistiksi, kuten hän itse sanoo.

– Vastustan kovasti sanaa tietokonerikollinen. Se on sama kun kutsuisi Elokapinaa viherrikolliseksi tai liikennerikolliseksi. Vaikka liikummekin lain harmaalla alueella, termi antaa toiminnalle liian pelottavan sävyn.

Tuukan mielestä olimme lännessä sokeita. Myös hän itse. Sota oli ilmiselvä jatkumo Putinin toimille ja se olisi pitänyt tajuta aikaisemmin. Siksi on ”terapeuttista ja rauhoittavaa, että voi tehdä edes jotain”.

– Olen katsonut, että nyt laittomatkin keinot ovat sallittuja. Mutta nämä toimet eivät kuulu rauhanajan oloihin. En ollut koskaan kiinnostunut hakkeroinnista ennen sotaa.