Janne Yli-Korhonen
8. huhtikuuta, 2026 12:13
Suojelupoliisi ja Traficomin Kyberturvallisuuskeskus ovat osallistuneet laajaan kansainväliseen operaatioon, jolla onnistuttiin häiritsemään Venäjän sotilastiedustelupalvelu GRU:n maailmanlaajuista kybervakoiluverkostoa. Yhdysvaltojen liittovaltion poliisin FBI:n johtama isku paljasti, että Venäjä on hyödyntänyt vakoilussaan myös tavallisten suomalaisten kotireitittimiä.
Operaation kohteena oli GRU:hun kytketty hyökkääjäryhmä, joka tunnetaan nimillä APT28, Fancy Bear ja Forest Blizzard. Ryhmä on rakentanut vakoiluinfrastruktuuriaan murtautumalla heikosti suojattuihin verkkolaitteisiin ympäri maailmaa, myös Suomessa.
Viranomaisten mukaan vakoiluoperaatio on kohdistunut erityisesti TP-Linkin valmistamiin reitittimiin. Hyökkääjät hyödynsivät laitteista kriittistä haavoittuvuutta nimeltään CVE-2023-50224.
Tämä tietoturva-aukko on hyökkääjälle poikkeuksellisen vaarallinen, sillä se mahdollistaa laitteelle tallennettujen salasanojen ja suojausavaimien urkkimisen pelkän verkkopyynnön avulla. Kun hyökkääjä saa haltuunsa reitittimen hallintatiedot, hän voi ottaa laitteen täydelliseen hallintaansa.
GRU ei ainoastaan käyttänyt laitteita hyökkäystensä peittelyyn, vaan se suoritti niillä aktiivista vakoilua muuttamalla reitittimien nimipalveluasetuksia (DNS).
Muuttamalla näitä asetuksia hyökkääjä on voinut ohjata käyttäjän liikennettä omien palvelimiensa kautta. Tämä mahdollistaa niin kutsutun adversary-in-the-middle -hyökkäyksen, jossa jopa salattua verkkoliikennettä voidaan yrittää purkaa ja lukea.
Suojelupoliisin mukaan Venäjän kiinnostuksen kohteena on ollut erityisesti valtionhallintoa, sotilaallista toimintaa ja kriittistä infrastruktuuria koskeva tieto.
Suomessa Supo ja Kyberturvallisuuskeskus toimivat aktiivisesti operaation aikana. Viranomaiset informoivat riskireititinten omistajia ja puhdistivat saastuneita laitteita yhteistyössä omistajien kanssa.
Vaikka tämä nimenomainen verkosto on nyt hajotettu, viranomaiset muistuttavat, että Venäjän aiheuttama kyberuhka on jatkuva.