Google paljasti KKP:hen kytketyt hakkerit, jotka iskivät 53 kohteeseen maailmanlaajuisesti

Google on onnistuneesti hajottanut valtion tukeman hakkeriverkoston, jolla on kytköksiä Kiinan kommunistiseen puolueeseen. Kyberturvallisuuspiireissä verkosto tunnetaan nimillä UNC2814 tai "Gallium." Ryhmä oli hiljaa tunkeutunut vähintään 53 organisaatioon 42 maassa ja kalastellut arkaluonteisia henkilötietoja, kuten täydellisiä nimiä, puhelinnumeroita, syntymäaikoja, syntymäpaikkoja, äänestäjätunnuksia ja kansallisia henkilötunnuksia. Operaatio oli jatkunut yli vuosikymmenen ennen kuin Google ja sen kumppanit puuttuivat asiaan.

Tämä ei ole tarina kaukaisesta yritysmurrosta. Tämä on tarina siitä, kuinka identiteettisi määrittelevät henkilökohtaiset tiedot on kerätty maailmanlaajuisessa mittakaavassa hyvin resursoitua, valtioon kytkettyä operaatiota varten.

Kuka on Gallium ja mitä he tavoittelivat?

Gallium on se, mitä tietoturvayhteisö kutsuu Advanced Persistent Threat (APT) -ryhmäksi. Nämä eivät ole opportunistisia kyberrikollisia, jotka tekevät tietojenkalastelua nopean rahan toivossa. APT-ryhmät ovat tyypillisesti kansallisvaltioiden tukemia, toimivat pitkän aikavälin strategisilla tavoitteilla ja omaavat kärsivällisyyden ja resurssit pysyä piilossa vaarantuneissa järjestelmissä kuukausia tai vuosia.

Tässä tapauksessa Gallium vietti yli vuosikymmenen suorittaen tunkeutumisia useilla eri toimialoilla, erityisesti keskittyen valtion virastoihin ja teleoperaattoreihin. Televerkot ovat ensisijainen kohde, koska ne kuljettavat valtavia määriä viestintädataa. Teleoperaattorin vaarantaminen voi antaa hyökkääjille pääsyn puheluihin liittyviin tietoihin, viestinnän metatietoihin ja tilaajatietoihin laajassa mittakaavassa ilman, että yksittäisiä käyttäjiä tarvitsee hakkeroida suoraan.

Heidän keräämänsä tiedot ovat juuri sitä, mitä petollinen toimija, ulkomainen tiedustelupalvelu tai identiteettivarkaat haluaisivat: nimiä, syntymäaikoja, syntymäpaikkoja, puhelinnumeroita, äänestäjärekisteritietoja ja kansallisia henkilötunnuksia.

Miksi hallitukset ja teleoperaattorit ovat vain sisäänkäyntejä

On houkuttelevaa lukea tällainen uutinen ja ajatella, että se koskee vain valtion työntekijöitä tai ihmisiä, joilla on ollut epäonni käyttää vaarantunutta teleoperaattoria. Tätä oletusta kannattaa kuitenkin kyseenalaistaa.

Kun valtioon kytketty ryhmä kohdistaa toimintansa teleinfrastruktuuriin, heijastusvaikutukset ulottuvat tavallisiin tilaajiin. Kun valtion tietokannat murretaan, niihin tallennetut henkilötiedot kuuluvat yksityisille kansalaisille. Ne 53 organisaatiota 42 maassa olivat sisäänpääsypisteitä, eivät lopullinen määränpää.

Valtion tukemat kyberoperaatiot, kuten Galliumin, käytetään myös usein henkilöistä laadittujen dossierien rakentamiseen valvontaa, kiristystä tai tulevaa kohdentamista varten. Näennäisesti arkipäiväisten tietopisteiden yhdistäminen – syntymäpäivä tässä, äänestäjätunnus tuolla – luo profiilin, joka on vaarallisempi kuin mikään yksittäinen tieto yksinään.

Googlen interventio on merkittävä, mutta se ei kumoa vuosikymmenen pituista pääsyä. Tänä aikana käytetyt tiedot eivät katoa, kun verkosto hajotetaan.

Mitä tämä tarkoittaa sinulle

Jos asut jossakin 42 kohdemaasta tai käytät jonkin 53 vaikuttuneen organisaation palveluita, henkilötietosi ovat saattaneet jo paljastua. Näistä organisaatioista ei ole tällä hetkellä vahvistettua julkista luetteloa, minkä vuoksi on vaikea tietää varmuudella, oletko vaikuttunut.

Tässä on mitä voit tehdä juuri nyt:

  • Tarkkaile identiteettiäsi. Seuraa tuntemattomia tilejä, odottamattomia luottotiedusteluita tai virallista kirjeenvaihtoa, joka viittaa siihen, että joku käyttää tietojasi.
  • Ole varovainen ei-toivottujen yhteydenottojen kanssa. Tietojenkalastelu- ja sosiaalisen manipuloinnin hyökkäykset seuraavat usein suuria tietomurtoja, koska hyökkääjät käyttävät varastettuja tietoja lähestymistapojensa uskottavuuden lisäämiseksi.
  • Rajoita henkilötietojesi altistumista verkossa. Mitä vähemmän henkilötietoja lähetät suojaamattomien yhteyksien kautta, sitä pienempi on hyökkäyspintasi.
  • Käytä VPN:ää julkisissa ja epäluotettavissa verkoissa. Vaikka VPN ei pysty suojaamaan tietoja, jotka on jo varastettu kolmannen osapuolen organisaatiosta, se salaa internet-liikenteesi niin, että selausaktiviteettisi, sijaintisi ja viestintäsi eivät voi joutua sieppauksen kohteeksi siirron aikana kenenkään toimesta – olipa kyseessä sitten rikollinen, datavälittäjä tai valtiollinen toimija.

Galliumin tapaus muistuttaa siitä, että valvontaan suuntautuneet kyberoperaatiot eivät ole hypoteettisia uhkia. Ne toimivat vuosien ajan, kohdistuvat infrastruktuuriin, johon luotat päivittäin, ja keräävät samoja henkilötietoluokkia, joita jaat rutiininomaisesti palveluille ja laitoksille.

Salatut yhteydet ovat osa laajempaa puolustusta

Mikään yksittäinen työkalu ei poista kaikkia riskejä, eikä olisi rehellistä väittää muuta. Puolustuksen kerrostaminen on kuitenkin tärkeää. [VPN-salauksen toimintaperiaatteen ymmärtäminen](internal-link: encryption explainer) ja sen johdonmukainen soveltaminen – erityisesti julkisen Wi-Fin tai oman hallintasi ulkopuolisten verkkojen kautta yhdistettäessä – vähentää dataa, jota sinusta voidaan siirron aikana kerätä.

hide.me VPN salaa internet-yhteytesi vahvoilla, auditoiduilla protokollilla, peittäen IP-osoitteesi ja estäen kolmansia osapuolia sieppaamasta liikennettäsi. Se ei kumoa jo tapahtunutta murtoa valtion virastossa tai teleoperaattorissa. Mitä se tekee, on varmistaa, että oma yhteytesi ei ole helppo kohde passiiviselle valvonnalle ja tiedonkeruulle, joka ruokkii Galliumin kaltaisia operaatioita.

Googlen toiminta tätä verkostoa vastaan on aito voitto globaalille kyberturvallisuudelle. Laajempi opetus on kuitenkin se, että valtion tukema hakkerointi on pysyvä, kärsivällinen ja hyvin rahoitettu ongelma. Toimenpiteiden toteuttaminen omien tietojesi suojaamiseksi – mukaan lukien [luotettavien tietosuojatyökalujen valitseminen](internal-link: privacy tools guide) – ei ole paranoidista. Se on järkevä vastaus dokumentoituun uhkaan.