Monitapaustutkimus valikoiduista Kiinaan ja Venäjään liitetyistä kyberhyökkäysryhmistä : kohdennetut haittaohjelmahyökkäykset

Abstract

Informaatioekosysteemien muutos on ollut vaikuttamassa kohdennettujen haittaohjelmahyökkäysten syntyyn. Kohdennetulla haittaohjelmahyökkäyksellä tarkoitetaan hyökkäystä, missä sofistikoitunut hyökkääjä toimii tietoverkossa peitellysti ja pitkäaikaisesti. Nykypäivänä tiedusteluoperaatioita voidaan suorittaa tietoverkossa lähes mistä tahansa menemättä kohdemaahan. Meneillään oleva COVID-19-pandemia on siirtänyt vakoilun painopistettä enemmän tietoverkkoihin. Monet valtiot tai niihin liittyvät kyberhyökkäysryhmät suorittavat vakoilua tietoverkoissa. Kiina ja Venäjä kuuluvat suurimpiin toimijoihin kybervakoilussa. Ne ovat myös merkittävimmät Suomen etuja vastaan tiedustelullisesti toimivat valtiot. Tässä pro gradu–tutkielmassa käsiteltiin muutamia valikoituja Kiinaan ja Venäjään liitettyjä kyberhyökkäysryhmiä. Tutkielman päätutkimuskysymyksessä tarkasteltiin kyseisten valtioiden ja niihin liittyvien kyberhyökkäysryhmien eroja. Ennen varsinaista päätutkimuskysymykseen vastaamista pyrittiin selvittämään yhtäläisyyksiä erikseen Kiinaan sekä Venäjään liittyvien ryhmien toiminnassa sekä työkaluissa, tekniikoissa ja proseduureissa. Tutkimusstrategiana käytettiin monitapaustutkimusta, joka soveltuu hyvin tämän tyyppiseen tutkimukseen, jossa on useita tarkasteltavia tapauksia ja hyödynnetään erityyppisiä tiedonkeräysmenetelmiä. Tutkimus on myös aineistolähtöistä, joten tässä tutkimuksessa käytettiin kvalitatiivista tutkimusotetta. Tiedon keräämisen ohjaukseen hyödynnettiin kyberattribuutiomallia, joka toimi myös analyysityökaluna yhdessä MITRE:n ATT&CK-kehyksen kanssa. Tutkitut kyberhyökkäysryhmät olivat Kiinaan liittyvät APT3, APT10 ja APT41 sekä Venäjään liittyvät APT28, APT29 ja Turla. Tutkimustuloksista käy ilmi, että kiinalaiset kyberhyökkäysryhmät tekevät yhteistyötä ja jakavat muun muassa työkaluja. Sen sijaan venäläisten ryhmien osalta työkalujen jakamisesta ei ole havaintoja, sillä niiden operaatioissa operaatioturvallisuuden merkitys korostuu. Vasta viimeisimmältä vuodelta on noussut esiin epäilys kahden venäläisen ryhmän yhteistyöstä. Varsinaisten tutkimuskysymyksien ulkopuolelta nousikin esiin alustava havainto, että COVID-19-pandemia on voinut muuttaa ryhmien toimintaa enemmän yhteistyössä tehtyjen operaatioiden suuntaan ja niillä on myös mahdollisesti pyritty saamaan taloudellista etua vakoilun lisäksi.

The change in the information ecosystems has been influencing the emergence of advanced persistent threats. Advanced persistent threat means an attack in which a sophisticated attacker acts in disguise and for a long time on a computer network. Today, intelligence operations can be performed on a computer network from almost anywhere without going to the target country. The ongoing COVID-19 pandemic has shifted the focus of espionage more to networks. Many states or their associated cyberattack groups conduct espionage on networks. China and Russia are among the largest players in cyber espionage and are also the largest states that act against Finland’s interests through espionage. This master’s thesis addressed a few selected APT groups attributed to China and Russia. The main research question looked at the differences between these countries and their associated APT groups. Prior to answering it, the aim was to find out the similarities in the activities of the groups related to both China and Russia separately. A multiple case study was used as the research strategy. It is well suited for this type of research. The research is also data-driven, so a qualitative research approach was used too. A cyber attribution model was used to control data collection. It also served as an analysis tool with the MITRE’s ATT&CK framework. The APT groups re-searched are APT3, APT10 and APT41 related to China and APT28, APT29 and Turla related to Russia. The research results show that Chinese groups work together and share tools, among other things. In contrast, there are no observations of Russian groups sharing tools. In their operations, the importance of operational security was emphasized. A preliminary observation emerged from outside the research questions about a possible change towards cooperation in the activities of the groups during the COVID-19 pandemic. Operations may also have sought to gain an economic advantage.