Mirva Johansson

VENÄJÄN JA KIINAN SOTILASTIEDUSTELUORGANISAATIOIDEN KYBERMENETELMIEN KEHITYS VUOSINA 2004–2021

JYVÄSKYLÄN YLIOPISTO INFORMAATIOTEKNOLOGIAN TIEDEKUNTA 2021

TIIVISTELMÄ

Johansson, Mirva Venäjän ja Kiinan sotilastiedusteluorganisaatioiden kybermenetelmien kehitys vuosina 2004–2021 Jyväskylä: Jyväskylän yliopisto, 2021, 63 s. Kyberturvallisuus, pro gradu -tutkielma Ohjaaja: Kari, Martti J.

Tietoverkoissa suoritettava kybertiedustelu on yksi uusimmista tiedustelun tie- donhankintalajeista. Sen merkitys on kasvanut entisestään COVID-19- pandemian aikana, kun matkustusrajoitteet ovat vaikeuttaneet perinteistä hen- kilötiedustelua. Samalla etätöiden lisääntyminen ja jopa poliittisen päätöksen- teon siirtyminen tietoverkkoihin ovat kasvattaneet hyökkäyspinta-alaa. Eniten Suomeen tiedustelua kohdistavia valtioita, niin kybertoimintaympäristössä kuin sen ulkopuolella, ovat Venäjä ja Kiina. Näiden valtioiden kyberkyvyk- kyyksien kehitystä on kuitenkin tutkittu niukasti. Tämän pro gradu -tutkielman päätutkimuskysymys käsittelikin näiden valtioiden sotilastiedusteluorganisaa- tioiden käyttämien kybermenetelmien kehitystä. Tutkimusilmiötä tarkasteltiin vuoden 2004 ja vuoden 2021 ensimmäisen neljänneksen välisellä ajanjaksolla. Ennen varsinaista tutkimusvaihetta tarkasteltiin kybertiedustelun ja siihen kes- keisesti liittyvien käsitteiden määritelmiä sekä kybertoimintaympäristön eri- tyispiirteitä. Lisäksi havaitut menetelmät asetettiin valtiokohtaisille aikajanoille. Päätutkimuskysymystä käsiteltiin aineistolähtöisen grounded theory -metodologian induktiivisdeduktiivisen koulukunnan avulla. Menetel- mä soveltui tutkimusilmiön tarkasteluun hyvin, sillä aiheesta ei ollut juurikaan aikaisempaa akateemista tutkimusta. Aineistona käytettiin tietoturvaa tutkivien organisaatioiden, ensisijaisesti tietoturvayritysten, julkaisuja. Tutkielmassa ha- vaittiin, että menetelmien taustalla on tietoinen kehitystyö, joka voi pohjautua täysin valmiiden työkalujen käyttöön, valmiiden työkalujen muokkaamiseen tai täysin omien työkalujen luomiseen. Kehitystyö voi olla luonteeltaan järjestel- mällistä ja pitkäjänteistä tai opportunistista. Tutkielmassa kehitettiin teoreetti- nen viitekehys, jossa hahmotellaan kehitystyöhön vaikuttavia tekijöitä. Tut- kielman tuloksia voidaan hyödyntää vastatiedustelutoiminnan kehittämisessä Venäjän ja Kiinan kybersotilastiedustelua vastaan sekä tulevan tutkimuksen pohjana.

Asiasanat: tiedustelu, kybertiedustelu, kybervakoilu, sotilastiedustelu, kyber- toimintaympäristö

ABSTRACT

Johansson, Mirva Evolution of the Cyber Techniques of Russian and Chinese Military Intelligence Organizations Between 2004–2021 Jyväskylä: University of Jyväskylä, 2021, 63 p. Cyber Security, Master’s Thesis Supervisor: Kari, Martti J.

Cyber intelligence carried out using information networks is one of the latest intelligence collection disciplines. The travel restrictions inflicted by the COVID-19 pandemic have hindered traditional human intelligence, causing the significance of cyber intelligence to grow. Furthermore, working remotely and transferal of national and international policy making onto information networks have increased the attack surface. The countries targeting Finland the most in their intelligence efforts, both in and outside of cyberspace, are Russia and China. The evolution of the cyber capabilities of these states has, however, attracted little research. For this reason, the main research question of this master’s thesis considered the evolution of the cyber methods used by the military intelligence organizations of these two states. The examination period covered the years from 2004 to the first quarter of 2021. Before the actual research phase, definitions of cyber intelligence and concepts closely related to it were inspected. Characteristics of cyberspace were also explored. Additionally, observed cyber methods were also compiled and presented using timelines. The research question was answered using the inductive-deductive school of grounded theory methodology. The methodology was well suited for examining the research phenomenon due to the scarcity of previous research. The research material consisted of publications by organizations that conduct information security research, primarily information security companies. The main finding was that the evolution is driven by an intentional development effort that may be based on utilizing readily available tools, modifying these tools, or creating custom tools. The development effort can be either systematic and persistent or opportunistic by nature. A theoretical framework was developed to delineate factors that influence the development effort. The results can be utilized in improving counterintelligence practices against Russian and Chinese cyber military intelligence and as a basis for future research.

Keywords: intelligence, cyber intelligence, cyber espionage, military intelli- gence, cyberspace

KUVIOT

KUVIO 1 Tiedusteluympyrä ...... 12 KUVIO 2 Sotilaalliset toimintaympäristöt ...... 15 KUVIO 3 Tutkimusprosessi ...... 23 KUVIO 4 Ehto-seurausmatriisi ...... 26 KUVIO 5 Konseptien muodostama teoreettinen viitekehys ...... 42

TAULUKOT

TAULUKKO 1 Aineiston pohjalta muodostetut konseptit ...... 40

SISÄLLYS

TIIVISTELMÄ ABSTRACT KUVIOT TAULUKOT

1 JOHDANTO ...... 7 1.1 Tutkimusongelma, -menetelmä ja -aineisto ...... 8 1.2 Aiempi tutkimus ...... 9

2 KYBERTIEDUSTELU OSANA KYBERSODANKÄYNTIÄ ...... 11 2.1 Tiedustelusta yleisesti ...... 11 2.2 Kybertoimintaympäristön erityispiirteitä ...... 13 2.3 Kybersodankäynti ...... 15 2.4 Kybersodankäynnin operaatioiden taksonomia ...... 17 2.5 Sotilastiedustelu ...... 17 2.5.1 Sotilastiedustelu Venäjällä ...... 18 2.5.2 Sotilastiedustelu Kiinassa ...... 19

3 GROUNDED THEORY ...... 21 3.1 Tutkimusprosessi ...... 23 3.1.1 Muistiot ja kaaviot ...... 24 3.1.2 Aineistonkeruu ja analyysi ...... 24 3.1.3 Teoreettinen integraatio ...... 27 3.2 Tieteenfilosofiset lähtökohdat ...... 28 3.3 Tutkimuksen laadun arviointi ...... 28

4 AINEISTO JA SEN ANALYYSI ...... 31 4.1 Venäläiset toimijat ...... 32 4.1.1 Fancy Bear ...... 32 4.1.2 Voodoo Bear ...... 34 4.2 Kiinalaiset toimijat ...... 35 4.2.1 Laivaston Pandat ...... 35 4.2.2 Muut Pandat ...... 37 4.3 Yhteenveto tutkimusaineistosta ...... 40

5 TULOKSET ...... 41 5.1 Kybertiedustelumenetelmien kehitys ...... 42 5.2 Tulosten luotettavuuden arviointi ...... 43 5.3 Tulosten merkitys ...... 44

6 YHTEENVETO ...... 46

LÄHTEET ...... 48

LIITE 1 TUTKITUISTA RYHMISTÄ KÄYTETTYJÄ NIMIÄ ...... 61

LIITE 2 AIKAJANOJA ...... 62

1 JOHDANTO

Tietoverkoissa tapahtuva kybertiedustelu on yksi tiedustelun uusimmista tie- donkeräysmuodoista. Sen merkitys on kasvanut erityisesti COVID-19- pandemian aiheuttamien matkustusrajoitusten aikana, kun henkilötiedustelu on vaikeutunut (Suojelupoliisi, 2020, s. 2). Erityistä huomiota viime aikoina ovat herättäneet Yhdysvalloissa paljastunut SolarWinds-kampanja sekä 28.12.2020 uutisoitu tietomurto eduskunnan tietojärjestelmissä (Poliisi, 2020). Suojelupoliisin (2021b; 2020) mukaan Suomeen eniten tiedustelutoimintaa kohdentavia valtioita ovat Venäjä ja Kiina1, myös tietoverkoissa. Vuonna 2020 kybertiedustelu oli aiempaa aktiivisempaa ja intensiivisempää. Tämä johtui suurelta osin pandemiatilanteesta; henkilötiedustelu vaikeutui ja toisaalta etä- työt lisääntyivät avaten yritysten järjestelmiä julkiseen verkkoon. Samalla jopa poliittisen päätöksenteon valmistelu siirtyi verkkoon, etäyhteyksien varaan. Samat pandemian aiheuttamat muutokset on havaittu myös Suomen sotilasvas- tatiedustelussa (Puolustusvoimat, 2021, s. 10). Tiedustelutoiminta kohdistuu Suomessa erityisesti ulko- ja turvallisuuspoliittiseen päätöksentekoon sekä tek- nologiaosaamiseen (Suojelupoliisi, 2021b, s. 18; Suojelupoliisi, 2020, ss. 2–3). Tässä tutkielmassa tutustutaan Venäjän ja Kiinan sotilastiedusteluorganisaatioiden käyttämien kybermenetelmien kehitykseen. Näitä organisaatioita ovat Venäjän Tiedustelupäähallinto ja Kiinan Kansan vapautusarmeijan Strategiset tukijoukot. Niihin liitetyt kybertoimijat tunnistettiin Thaimaan kansallisen tietoturvaviranomaisen (ThaiCERT) meta- analyysin (2020) avulla. Tutkielmassa oletetaan, että meta-analyysissä esitetty toimijoiden attribuutio, eli yhdistäminen reaalimaailman toimijaan, on totuudenmukainen. Tutkielma on kirjoitettu länsimaisesta näkökulmasta. Lähteissä on käytet- ty melko paljon yhdysvaltalaista materiaalia, erityisesti kybersodankäynnin osalta. Tämä johtuu siitä, että Yhdysvaltoja voidaan pitää kybertoimintaympä- ristössä toimimisen edelläkävijänä, sekä siitä, että yhdysvaltalaiset asiakirjat ovat julkisesti saatavilla ja tarkoitettu kansainvälisesti yhteensopiviksi (Laari,

1 Kiinalla tarkoitetaan tässä tutkielmassa Kiinan kansantasavaltaa, kun kyse on nykytilan- teesta tai lähihistoriasta.

8

2019, s. 7). Venäjän- ja kiinankielisten termien translitteraatioissa on käytetty lähdetekstien mukaisia kirjoitusasuja. Länsimainen kyberkäsitys eroaa venäläisestä ja kiinalaisesta merkittävästi. Venäläinen käsitys on kokonaisvaltaisempi, ja Venäjällä puhutaankin informaa- tioympäristöstä kybertoimintaympäristön sijaan (Ristolainen, 2017, s. 10). Myös kiinalaisen käsityksen mukaan kyber on osa laajempaa informaatiotoimin- taympäristöä (Costello & McReynolds, 2018, s. 5). Tutkielman toisessa luvussa kuvataan tutkimusaiheen laajempaa konteks- tia ja keskeisiä käsitteitä kirjallisuuden pohjalta. Kolmannessa luvussa esitellään käytetty metodologia, tieteenfilosofiset lähtökohdat sekä tutkielman laadun arviointiperusteet. Luku neljä kattaa aineiston analyysin, ja luvussa viisi esitel- lään tulokset sekä arvioidaan niiden luotettavuutta ja merkitystä. Kuudennen luvun yhteenvedossa esitetään tutkielman johtopäätökset sekä mahdollisia jat- kotutkimusaiheita.

1.1 Tutkimusongelma, -menetelmä ja -aineisto

Kybertiedustelun merkityksen lisääntyessä paine ilmiön ymmärtämiseen li- sääntyy. Kybertiedustelussa käytettyjä menetelmiä on käsitelty akateemisessa kirjallisuudessa vain vähän (ks. luku 1.2), niiden kehitystä tuskin lainkaan. Tä- män tutkielman tarkoitus on omalta osaltaan täyttää tätä tietoaukkoa. Tutkielma pyrkii pureutumaan tutkimusongelmaan tutkimuskysymyksel- lä: Miten Venäjän ja Kiinan sotilastiedusteluorganisaatioiden kybermenetelmät ovat kehittyneet? Sitä täydennetään seuraavilla apukysymyksillä:

• Miten kybertiedustelu määritellään? • Millaisia menetelmiä havaituissa kybertiedusteluoperaatioissa on esiintynyt? • Miten menetelmät asettuvat aikajanalle?

Tutkimuskysymyksiä tarkastellaan ajanjaksolla 2004–2021. Vuoden 2021 osalta käsitellään vain ensimmäistä vuosineljännestä. Rajauksen perusteena on tutki- musaineiston saatavuus. Valtiollisten tiedustelupalveluiden säännöllinen, aktii- vinen toiminta kybertoimintaympäristössä ei myöskään ole ilmiönä juuri tätä vanhempi. Suorituskykyjä on varmasti kehitetty huomattavasti pidempään, mutta tämä työ ei ole näkynyt julkisissa tietoverkoissa, eikä siten myöskään tutkimusaineistossa. Tutkimusmenetelmänä käytetään grounded theorya (GT). Se soveltuu tut- kimusongelman tarkasteluun hyvin, sillä aiheesta ei ole vielä jäsenneltyä tutki- musta. Koska tutkimusongelma oli alun perin ulkopuolelta ehdotettu, valittiin GT:n induktiivisdeduktiivinen koulukunta (Siitonen, 1999, s. 32; koulukuntaa esitelty teoksissa Strauss & Corbin, 1990; 1997). Puhtaan deduktiivisen koulu- kunnan mukaan tutkimusongelmaa ei tulisi edes valita ennen analyysia (Siito- nen, 1999, s. 32), joten se ei soveltunut tutkielmaan. Koulukunnan sisältä käytet- täväksi valikoitui Corbinin ja Straussin teoksessaan Basics of Qualitative Research

9

(3rd ed.): Techniques and Procedures for Developing Grounded Theory (2008) esitte- lemä metodologia. Tutkimusaineisto koostuu tietoturvaa tutkivien tahojen julkaisuista. Kes- keisiä tutkimusorganisaatioita ovat tietoturvayritykset, ajatushautomot sekä kansalliset CERT-viranomaiset (Computer Emergency Response Team; tietoturva- loukkausten ja -uhkien torjunnasta vastaava viranomainen). Näiden julkaisuja puolestaan ovat raportit, blogitekstit ja tiedotteet. Aineisto on kokonaisuudes- saan julkista, ja se on hankittu Internetistä. Aineiston hankintaa ohjasi GT:hen kuuluva teoreettinen otanta. Aineiston analyysiä hankaloittaa se, että toimijoiden ja niiden käyttämien työkalujen nimet poikkeavat toisistaan eri lähteissä. Tämä on tyypillistä tieto- turvatutkimuksessa; kukin tutkijataho nimeää havaitsemansa uhkatoimijat ja haittaohjelmat omalla tavallaan. Tutkituista ryhmistä käytettyjä nimiä on koot- tu liitteeseen 1. Tässä tutkielmassa kybertoimijoista käytetään ensisijaisesti CrowdStrike-yrityksen antamia nimiä. Nämä nimet ovat yleisesti tunnettuja, ja niistä voi päätellä suoraan valtion, josta ryhmä on kotoisin; Bear-loppuiset ryh- mät ovat Venäjältä ja Panda-loppuiset Kiinasta. Haittaohjelmista pyritään käyt- tämään nimityksiä, joilla ei viitata muissakaan lähteissä itse toimijaan.

1.2 Aiempi tutkimus

Aiemmassa akateemisessa tutkimuksessa kybertiedustelua ja -vakoilua ei juuri käsitellä. Vähäinen tutkimus lähestyy aihetta lähinnä teollisuusvakoilun (esim. Heickerö, 2016; Wangen, 2015) ja siltä suojautumisen (esim. Borum ym., 2015) näkökulmista. Puolustusteollisuuteen kohdistuvalla vakoilulla (esim. Friedman, 2013) on toki yhtymäkohtia myös sotilastiedusteluun. Kybertiedustelun erottamista muista kyberhyökkäyksistä on käsitelty niin juridisista (esim. Brown, 2016) kuin teknisistä (esim. Merritt & Mullins, 2011) lähtökohdista. Tiedustelukampanjoiden teknistä toteutusta käsitellään aiem- massa tutkimuksessa joko yksittäisten operaatioiden tai yksittäisten teknisten ratkaisujen osalta. Esimerkiksi Bederna ja Tamas (2020) käsittelevät bottiverk- kojen käyttöä kybervakoilussa. Menetelmien kehityskaaria tai aikajanoja sitä vastoin ei löydy tieteellisistä julkaisuista. Gilad, Pecht ja Tishler (2021) kuvaavat kybertiedustelumenetelmien käyttöä sotilastiedustelussa taloudellisesta näkökulmasta. Artikkelissa ei käsitellä menetelmiä tarkemmin. Myöskään artikkelissa esiteltyjen, sotilastiedustelun taloudellisia vaikutuksia kuvaavien matemaattisten mallien pohjana tai sovelluskohteena olevia valtioita ei ole yksilöity (Gilad ym., 2021). Venäläistä kybertiedustelua ei itsessään käsitellä akateemisissa julkaisuis- sa. Jensen, Valeriano ja Maness (2019) nostavat kuitenkin tiedustelupalveluihin yhdistetyt kybertoimijat esiin osana Venäjän kyberstrategiasta kertovaa artikke- liaan. Gioe (2018) puolestaan kuvaa venäläisen hybriditiedustelun käsitettä, johon sisältyvät myös kybertoimintaympäristössä tapahtuva tiedustelu ja tie- dustelupalveluihin yhdistetyt aktiiviset toimet.

10

Inksterin (2013) mukaan kiinalaisesta kybervakoilusta ei ollut julkaistu juuri mitään artikkelin kirjoittamiseen mennessä. Artikkelissa mainitaan joitain siihenastisia operaatioita ja yksi suosittu menetelmäyhdistelmä (kohdennettu tietojenkalastelu ja etähallintatroijalainen). Artikkelin mukaan ensimmäinen havaittu operaatio oli Yhdysvaltoihin kohdistunut Titan Rain vuonna 2003, mutta artikkeli ei kuvaa operaatioiden tai niissä käytettyjen menetelmien kehi- tystä (Inkster, 2013, ss. 57–62).

11

2 KYBERTIEDUSTELU OSANA KYBERSODANKÄYNTIÄ

Kybertoimintaympäristöä pidetään sotilaallisena toimintaympäristönä samalla tavoin kuin perinteisempiä maa-, meri-, ilma- ja avaruustoimintaympäristöä. Valtiolliset toimijat käyttävätkin kybertoimintaympäristöä sekä tiedustelussa että sodankäynnissä. (Laari, 2019, ss. 25, 33.)

2.1 Tiedustelusta yleisesti

Tiedustelulla tarkoitetaan tiedon hankintaa päätöksenteon tueksi. Vaikka tiedus- telu on ilmiönä tuhansia vuosia vanha, vakiintuneet valtiolliset tiedustelupalve- lut yleistyivät vasta 1800-luvun lopulla. Nykyisin tiedusteluviranomaiset jae- taan yleensä sotilas- ja siviilitiedusteluun. Itsenäinen tiedonhankinta on yksi valtioiden keinoista täyttää velvollisuutensa suojella kansalaisiaan erilaisilta uhilta. Lisäksi se mahdollistaa itsenäisen päätöksenteon ja on siten osa valtion suvereniteettia. (Luukkonen, 2020, ss. 10–11.) Warnerin (2002, s. 21) määritelmän mukaan tiedustelu on ”salaista, valtiol- lista toimintaa, jonka tarkoituksena on ymmärtää ulkomaisia tahoja tai vaikut- taa niihin”. Salaisuus viittaa sekä tiedonlähteiden että menetelmien luottamuk- sellisuuteen, joita suojataan muun muassa vastatiedustelun keinoin. Määritel- män mukaan tiedustelu on valtiollista, laein määriteltyä toimintaa. Huomion arvoista on myös se, että tämän määritelmän mukaan tiedustelutoimintaan kuuluu myös salaisia (engl. clandestine tai covert) toimia, joiden tavoitteena on vaikuttaa kohteeseen, ei vain kerätä siitä tietoa. (Warner, 2002.) Yhdusvaltalaisesta käsityksestä poiketen Venäjällä ja Kiinassa on yleistä, että tiedustelun kohteet eivät ole pelkästään ulkomaisia (Crosston, 2016, s. 112). Vakoilu puolestaan tarkoittaa laitonta2 tai kiellettyä tiedonhankintaa. Käy- tännössä se voi tarkoittaa esimerkiksi ulkomaisten valtiosalaisuuksien varasta-

2 Esimerkiksi Suomessa Rikoslaki (1889/39) 12 luku, 5 §

12 mista. Ulkomaantiedustelupalvelun toiminta voidaankin usein tulkita kohde- maassa vakoiluksi. Kybertiedustelulla tarkoitetaan tässä tutkielmassa tiedustelua, jossa hyö- dynnetään tietoverkkoja sekä niihin liitettyjä laitteita ja ohjelmistoja (vrt. kybervakoilu, Turvallisuuskomitea, 2018, s. 26). Kybertiedustelu on käytännös- sä ainoa keino kerätä digitaalista tietoa, mutta sitä pitää lähes poikkeuksetta täydentää muilla tiedustelulajeilla (Wihersaari, 2015, s. 26). Koska tutkielmassa käsitellään ulkomaisia tiedustelupalveluja, termivalinnalla halutaan korostaa toiminnan riippumattomuutta suomalaisesta tiedustelulainsäädännöstä, joten termiä tietoverkkotiedustelu ei käytetä. Samasta syystä termejä kybertiedustelu ja -vakoilu käytetään keskenään vaihtokelpoisina. Kybervakoilu ei ole ilmiönä mitenkään uusi, sillä ensimmäinen tapaus paljastui jo vuonna 1986. Saksalainen Markus Hess tunkeutui yliopistojen tieto- verkkojen kautta yhdysvaltalaisten sotilaskohteiden tietojärjestelmiin. Hess sai käsiinsä tietoja ydinaseista ja ohjuspuolustuksesta ja myi ne ilmeisesti Neuvos- toliiton ulkomaantiedustelusta vastaavalle turvallisuuspalvelulle, KGB:lle. (Laari, 2019, ss. 30, 58; Wihersaari, 2015, ss. 3–4.) Tiedusteluprosessia kuvataan yleisesti tiedusteluympyrällä (ks. kuvio 1). Malli on hyvin pelkistetty, ja sitä kohtaan onkin esitetty kritiikkiä (ks. esim. Hulnick, 2006; Warner, 2013). Siitä onkin kehitetty paremmin todellisuutta kuvaavia versioita, kuten FBI-malli (Wihersaari, 2015, ss. 20–21). Perusmuotoi- sen tiedusteluympyrän avulla saadaan kuitenkin muodostettua yleiskuva tie- dusteluprosessin keskeisistä vaiheista riippumatta kohteesta tai käytettävissä olevista menetelmistä (Williams, Dunlevy & Shimeall, 2002, s. 12).

Ohjaus

Jakaminen Keräys

Käsittely

KUVIO 1 Tiedusteluympyrä (Davies, Gustafson & Ridgen, 2013, s. 58, muokattu)

13

Tiedusteluprosessi alkaa aina asiakkaan tietotarpeesta. Ohjausvaiheessa tiedus- telupalvelun yhdyshenkilö varmistaa, että asiakkaan tarve laajuudessaan ja kontekstissaan on ymmärretty oikein. Tietotarpeen perusteella suunnitellaan keräys- ja analyysitehtävät. (Phythian, 2013, s. 1.) Keräysvaiheessa hankitaan tiedustelukysymykseen vastaamiseen vaadit- tava tieto. Tässä voidaan käyttää eri tiedustelulajeja: henkilötiedustelua (engl. human intelligence, HUMINT), signaalitiedustelua (signals intelligence, SIGINT), avointen lähteiden tiedustelua (open source intelligence, OSINT), geotiedustelua (geospatial intelligence, GEOINT) sekä mittaus- ja tunnusmerkkitiedustelua (measurement and signature intelligence, MASINT). Kybertiedustelua voidaan joko pitää omana tiedustelulajinaan (Williams ym., 2002, s. 13; Brantly, 2013), osana signaalitiedustelua (Laari, 2019, s. 49) tai kaikkien edellä mainittujen tiedustelu- lajien laajennuksena (Wihersaari, 2015, ss. 30–31). (Phythian, 2013, ss. 1–2.) Käsittely sisältää kerätyn datan tallennuksen, prosessoinnin ja analyysin. Prosessointi voi sisältää esimerkiksi salatun informaation dekryptausta tai teks- tien kääntämistä. Ensimmäinen analyysivaihe tapahtuu usein lähellä keräystä ja käsittelee vain yhden tiedustelulajin avulla kerättyä tietoa. Tässä vaiheessa ar- vioidaan myös lähteen ja tiedon luotettavuus. Toinen analyysivaihe yhdistää tiedustelulajikohtaiset analyysit toisiinsa kokonaiskuvan muodostamiseksi. Analyysin tavoite on muuttaa kerätty data ja informaatio tiedustelutiedoksi. (Phythian, 2013, ss. 3–4.) Jakamisvaiheessa tiedustelutiedosta muodostetaan asiakkaan tarpeiden mukaiset tuotteet. Tuotteita voivat olla esimerkiksi erilaiset kirjalliset raportit ja suulliset esitykset. Tuotteet toimitetaan asiakkaalle ohjausvaiheessa sovitulla tavalla. Tiedustelutiedon ja sen pohjalta tehtyjen päätösten luomat uudet tieto- tarpeet johtavat ympyrän alkamiseen alusta. (Phythian, 2013, s. 4.)

2.2 Kybertoimintaympäristön erityispiirteitä

Kybertoimintaympäristöllä tarkoitetaan toimintaympäristöä, joka koostuu digitaa- lisista tietojärjestelmistä, fyysisistä rakenteista ja toimintaympäristön toimijoista. Sille on ominaista elektroniikan ja sähkömagneettisen spektrin käyttö datan ja informaation varastoinnissa, muokkaamisessa ja siirrossa. (Laari, 2019, s. 9.) Kybertoimintaympäristö koostuu kolmesta kerroksesta: fyysisestä, loogi- sesta ja sosiaalisesta. Fyysinen kerros koostuu maantieteellisestä sijainnista sekä laitteista ja infrastruktuurista, joita käytetään informaation varastointiin, pro- sessointiin ja siirtämiseen (US Joint Chiefs of Staff, 2018, ss. I-1–I-2). Verkon fyy- sinen rakenne voi kertoa sen käyttötarkoituksesta ja paljastaa sen komponent- teihin liittyviä haavoittuvuuksia (Brantly, 2016). Fyysinen kerros pitää suojata fyysisesti, sillä se voi olla hyökkäyksen kohteena kuten mikä tahansa muukin fyysinen kohde (Laari, 2019, s. 13). Looginen kerros koostuu koodista. Siihen kuuluu dataa, ohjelmistoja ja verkkoprosesseja (US Joint Chiefs of Staff, 2018, ss. I-3–I-4). Suurin osa ky- berhyökkäyksistä tapahtuu tällä kerroksella, ja se on myös usein tiedustelun

14 kohteena (Laari, 2019, ss. 13–14). Kohdejärjestelmän ominaisuuksien, kuten käyttöjärjestelmän, tunteminen on edellytys onnistuneelle kyberoperaatiolle (Brantly, 2016), koska loogisen kerroksen kohteisiin voidaan vaikuttaa vain ky- bersuorituskyvyillä (US Joint Chiefs of Staff, 2018, ss. I-4). Sosiaalinen tai käyttäjäkerros koostuu ihmisistä ja kyberpersoonista sekä näitä yhdistävistä tiedoista. Kyberpersoonilla tarkoitetaan ihmisten ja ihmis- ryhmien ilmentymiä, kuten käyttäjätilejä ja sähköpostiosoitteita, kybertoimin- taympäristössä. Sosiaalisella kerroksella tapahtuu usein kyberhyökkäyksen en- simmäinen vaihe. Tieto siitä, kenellä on pääsy jollekin laitteelle tai johonkin in- formaatioon, voi avata uusia haavoittuvuuksia käyttäjän manipuloinnille (engl. social engineering) tai tietojen kalastelulle (Brantly, 2016). (Laari, 2019, s. 14.) Eräs merkittävä ero kybertoimintaympäristön ja fyysisen maailman välillä on riippumattomuus maantieteellisestä sijainnista. Etäisyyttä on siis tarkastel- tava eri tavoin kuin on totuttu, kun esimerkiksi kyberhyökkäyksen kohde on eri paikassa kuin missä sitä käytetään. Toimintaympäristö on maailmanlaajuinen, se ei tunne valtioiden rajoja eikä sitä omista mikään yksittäinen taho. Sen suo- jaaminen ei siis onnistu samalla tavoin kuin esimerkiksi valtion alueellisen kos- kemattomuuden turvaaminen. Kybertoimintaympäristössä toimiminen vaatii- kin laajaa ja monialaista kansallista ja kansainvälistä yhteistoimintaa. (Laari, 2019, ss. 10, 14.) Toinen huomattava ero on attribuution vaikeus kybertoimintaympäristös- sä. Attribuutiolla tarkoitetaan hyökkäyksen takana olleiden toimijoiden tunnis- tamista. Tunnistuksessa käytetään apuna teknisiä ja käytöksellisiä indikaatto- reita. Teknisiä indikaattoreita, kuten IP-osoitteita, on kuitenkin mahdollista väärentää peittämis- ja harhautustarkoituksessa. Oman haasteensa attribuuti- oon luovat myös kansallisten lainsäädäntöjen erot sekä kansainvälisten oikeus- sääntöjen puutteet. (Jaafar, Avellaneda & Alikacem, 2020.) Kybertoimintaympäristön siviili- ja sotilasinfrastruktuurissa on päällek- käisyyksiä (Laari, 2019, s. 16). Julkishallinnon ja asevoimien tietojärjestelmät ovat riippuvaisia kaupallisista toimijoista. Kybertoimintaympäristössä rajat jul- kisen ja yksityisen, julkishallinnon ja kaupallisen sekä sotilaallisen ja ei- sotilaallisen välillä ovat häilyviä (Hurley, 2012, s. 19). Tämän vuoksi sotilaalli- sessakin kybertilannekuvassa tulisi huomioida myös siviilitietoverkkojen toi- mivuus (Shakarian, Shakarian & Ruef, 2013, s. 30). Kybertoimintaympäristöön liittyvät haavoittuvuudet ovat epäsymmetrisiä. Valtiot, joiden riippuvuus toimintaympäristöstä on pieni, eivät ole yhtä haa- voittuvia kyberuhkille kuin digitaalisesti kehittyneemmät valtiot. Toisaalta nä- mä vähemmän riippuvaiset tahot voivat saada aikaan merkittäviä vaikutuksia verkottuneempien valtioiden alueilla. Kybersuorituskykyjen kehittäminen on myös edullista verrattuna esimerkiksi kineettisiin asejärjestelmiin. (Williams ym., 2002, ss. 2–3.) Kybertoimintaympäristö leikkaa osittain kaikkia perinteisiä sotilaallisia toimintaympäristöjä. Maa-, meri-, ilma- ja avaruustoimintaympäristöissä ei voida enää välttää toimimista myös kybertoimintaympäristössä. Kaikki toimin- taympäristöt voidaan jakaa teoreettisesti informaatio- ja fyysiseen ympäristöön.

15

Toimintaympäristöjen suhteita toisiinsa on hahmoteltu kuviossa 2. (Laari, 2019, ss. 16–17.)

KUVIO 2 Sotilaalliset toimintaympäristöt (Laari, 2019, s. 17, muokattu)

Ristolaisen (2017) mukaan venäläinen käsitys kybertoimintaympäristöstä on kokonaisvaltaisempi informaatioympäristö. Siihen kuuluu informaation luomi- seen ja käyttämiseen liittyvät ihmisten toiminnot, ICT-infrastruktuuri sekä in- formaatio itse. Informaatioympäristöön eivät sisälly vain sähköiset, vaan kaikki tiedotusvälineet (Ristolainen, 2017, s. 10). Cai (2015) kuvaa kiinalaista kyberkäsitystä. Hänen mukaansa kiinalaisessa kontekstissa kyber ei ole vain teknologinen kysymys, vaan strategisesti merkit- tävä osa yhteiskunnan hallintoa. Lisäksi kiinalaisessa ajattelussa korostuu valti- on suvereniteetti myös kybertoimintaympäristössä (Cai, 2015, ss. 473, 476). Cos- tellon ja McReynoldsin (2018) mukaan kybertoimintaympäristö on kiinalaisille avaruuden ja kaukaisten merien lisäksi yksi strategisista rajaseuduista. Maan johto on ilmaissut aikomuksensa suojella Kiinan intressejä näillä alueilla (Costello & McReynolds, 2018, s. 8).

2.3 Kybersodankäynti

Shakarian ym. (2013) määrittävät kybersodankäynnin kenraali von Clausewitzia mukaillen:

Kybersota on politiikan jatkamista kybertoimintaympäristössä valtiollisten tai ei- valtiollisten toimijoiden keinoin, jotka joko muodostavat merkittävän uhan kansalli-

16

selle turvallisuudelle tai jotka suoritetaan vastauksena havaittuun uhkaan kansallista turvallisuutta kohtaan.3

Tämän määritelmän mukaan kybersodankäynti siis rajautuu kybertoimintaym- päristöön, ja ainakin yksi osapuoli on valtiollinen. Kirjoittajat siis hyväksyvät Hamasin ja Hizbollahin kaltaiset järjestöt kybersodankäynnin osapuoliksi, kun- han niiden muodostama uhka on riittävän merkittävä. (Shakarian ym., 2013, s. 2.) Venäläiset sitovat sodankäynnin omaan informaatioympäristön käsittee- seensä. Karin (2019, s. 16) mukaan Kamyshev (2009) jakaa sodankäynnin infor- maatiotilassa informaatiotekniseen ja informaatiopsykologiseen sodankäyntiin. Näistä informaatiotekninen vastaa länsimaista käsitystä kybersodankäynnistä (Kari, 2019, s. 16). Kiinalaista käsitystä kybersodankäynnistä puolestaan kuvaavat Costello ja McReynolds (2018). Sen mukaan kybersodankäynti on osa laajempaa informaa- tiosodankäynnin kokonaisuutta, johon kuuluu myös elektroninen ja psykologi- nen sodankäynti (Costello & McReynolds, 2018, s. 5). Pelkkien kyberoperaatioiden muodostama kybersodankäynti tai erilaisia (muita kuin kineettisiä) operaatioita yhdistelevä hybridisodankäynti ei välttä- mättä nouse sodan kynnyksen yläpuolelle. Tällaista sodankäyntiä sodan ulko- puolella ei tunneta kansainvälisessä oikeudessa, joten perinteisten sodankäyn- tikäsitteiden käyttö on haastavaa. Perinteinen sodan malli sodan julistuksesta rauhan sopimiseen on väistymässä uuden sodankäynnin paradigman tieltä. Selkeärajaisen sodan tilalle, tai ainakin rinnalle, on muodostunut pitkittyneitä, epävakaita konflikteja. (Lehto, 2014b, ss. 88–89.) Sodankäynnissä voidaan käyttää kyberoperaatioita muiden operaatioiden rinnalla. Ne ovat vain yksi osa käytettävissä olevia resursseja ja keinoja, kun suunnitellaan ja toteutetaan operaatioita kaikissa sotilaallisissa toimintaympä- ristöissä. Kybermenetelmillä voidaan vaikuttaa kybertoimintaympäristön lisäk- si myös fyysiseen ympäristöön (nk. kineettinen kyber). (Kuusisto, 2014, s. 2.) Kyberoperaatioita onkin käytetty osana sodankäyntiä ainakin vuodesta 2007 lähtien. Tällöin Israel toteutti Syyrian ydintutkimuslaitosta vastaan ilmais- kun, jonka yhteydessä Syyrian ilmapuolustusjärjestelmä saatiin esittämään ma- nipuloitua tilannekuvaa kyberoperaation avulla. Vuonna 2008 taas Venäjä tuki hyökkäystään Georgiaan tunkeutumalla georgialaisiin tietoverkkoihin ja ai- heuttamalla niissä häiriöitä. (Laari, 2019, ss. 24, 64.) Useat valtiot ovat ilmoittaneet, että pitävät oikeutenaan vastata ky- berhyökkäykseen kineettisesti. Näin ovat tehneet muun muassa Iso-Britannia ja Yhdysvallat, joka on myös ilmoittanut toteuttaneensa tällaisia toimia terroristi- järjestö Isisiä vastaan. Myös Israel on vastannut Hamas-järjestön kyberhyök- käykseen välittömällä ilmaiskulla vuonna 2019. (Laari, 2019, ss. 21, 25–26.)

3 Käännöksessä käytetty Clausewitz (1981, s. 7)

17

2.4 Kybersodankäynnin operaatioiden taksonomia

Ei-kineettisen, esimerkiksi elektronisen, sodankäynnin operaatiot jaetaan ylei- sesti vaikuttamiseen, suojautumiseen ja tiedusteluun. Myös kyberoperaatiot voidaan jakaa saman kolmijaon mukaisesti hyökkäykselliseen kybervaikuttami- seen, puolustukselliseen kybersuojautumiseen sekä kybertiedusteluun (Lehto, 2014a, s. 170). Vastaavasti Suomen kyberturvallisuusstrategian (2013, s. 8) mu- kaan sotilaallinen kyberpuolustuskyky koostuu tiedustelusta, vaikuttamisesta ja suojautumisesta. Yhdysvaltalainen malli vastaa perinteistä kolmijakoa osittain. Mallissa esiintyvät hyökkäykselliset ja puolustukselliset kyberoperaatiot, jotka vastaavat kutakuinkin vaikuttamista ja suojautumista. Tietoverkoissa tapahtuva tieduste- lu sitä vastoin on jatkuva toiminto, joten sitä ei lueta operaatioksi (Laari, 2019, s. 54). Mallin kolmannen operaatioryhmän muodostavat johtamisjärjestelmäope- raatiot, jotka ovat myös suojautumista. Näiden kahden suojautumisoperaatio- tyypin ero on se, että johtamisjärjestelmäoperaatiot eivät kohdistu yksittäistä uhkaa vastaan, vaan pyrkivät takaamaan omien tietoverkkojen jatkuvan luot- tamuksellisuuden, eheyden ja saatavuuden. Puolustukselliset kyberoperaatiot taas vastaavat tunnistettuihin uhkiin sekä omissa tietoverkoissa että niiden ul- kopuolella. (US Joint Chiefs of Staff, 2018, ss. II-2–II-5) Venäläiset puolestaan jakavat kybersodankäynnin operaatiot omaan in- formaatioympäristökäsitykseensä sopivalla tavalla. Informaatiosodankäynnin operaatiotyyppejä ovat digitaalisteknologiset operaatiot (elektroninen sodan- käynti) ja kognitiivispsykologiset operaatiot (Ristolainen, 2017, s. 10). Kybersodankäynnin operaatiot eivät ole täysin itsenäisiä kokonaisuuksia, vaan kokonaisoperaation osia (Lehto, 2014a, s. 170). Hyökkäyksellisen kybe- roperaation valmisteluihin kuuluu aina perusteellinen, eri tiedonkeräyslajeja hyödyntävä tiedustelu (Laari, 2019, s. 62). Tietoverkkotiedustelun menetelmillä saadaan myös jalansija kohdejärjestelmässä ennen varsinaista hyökkäystä (Shakarian ym., 2013, s. 30).

2.5 Sotilastiedustelu

Tiedustelutietoa on hyödynnetty sotilasoperaatioiden ja omien maiden puolus- tamisen suunnitteluun. Varhaisimpia tunnettuja esimerkkejä ovat muun muas- sa Raamatun kertomus Mooseksen kahdestatoista vakoojasta (sijoittuu ajanjak- solle 1300–1200 eaa.) sekä 400-luvulla ennen ajanlaskun alkua kirjoitettu kii- nalaisen Sunzin Sodankäynnin taito (Gilad ym., s. 18). Tiedusteluanalyysin te- keminen oli kuitenkin pitkään komentajien vastuulla. Pysyviä sotilastieduste- luelimiä alkoi muodostua osaksi Euroopan sotilasmahtien asevoimia 1800- luvun lopulla (Thomas, 2008, s. 138). Sotilastiedustelun päätehtäviä ovat sotilaallisen toimintaympäristön seu- ranta sekä ennakkovaroituksen antaminen sotilaallisesta uhkasta. Tehtävien

18 toteuttamiseksi vaadittava tieto on siirtynyt suurelta osin tietoverkkoihin, joten asevoimien on kehitettävä kybertiedustelukykyjään (Virtanen & Jokinen, 2014, s. 136). Kybertiedustelun keinoin voidaan myös päästä vastustajan päätöksente- koprosessin sisälle, mikä lisää omien operaatioiden vaikuttavuutta (Lehto, 2014b, s. 87). Kun kohdejärjestelmään on päästy sisään tiedonkeruuta varten, jalansijaa voidaan hyödyntää myös vahingon aiheuttamiseen dataa manipuloi- malla, palvelunestohyökkäyksillä tai fyysisesti, mikä lisää kybertiedusteluope- raatioiden sotilaallista hyödynnettävyyttä (Gilad ym., 2021, s. 20). Brantlyn (2016) mukaan vieraiden valtioiden puolustuksellisten ja hyök- käyksellisten kyberkyvykkyyksien arviointi vaatii useiden tiedustelulajien yh- distelmää. Pelkkä kybertoimintaympäristön tarkkailu ei riitä. Tiedustelutieto voi myös auttaa hyökkäyksellisten strategioiden laadinnassa ja päätöksissä käyttää kybermenetelmiä aseena (Brantly, 2016). Kuten sodankäynnissä, myös sotilastiedustelussa on erotettavissa strate- ginen, operatiivinen ja taktinen taso. Strateginen taso tukee korkeinta sotilasjoh- toa kansallisen strategian kehittämisessä ja suunnitelmien valmistelussa. Opera- tiivinen tiedustelu keskittyy vastustajien ja mahdollisten vastustajien kyvyk- kyyksiin ja aikeisiin sotilasoperaatioiden kaikissa vaiheissa. Taktiseen tasoon kuuluu tunnetun vastustajan kyvykkyyksien, aikeiden ja haavoittuvuuksien tunnistaminen ja arviointi taistelujen suunnittelun ja toteuttamisen tueksi. (Thomas, 2008, s. 144.)

2.5.1 Sotilastiedustelu Venäjällä

Venäjän sotilastiedustelusta vastaa Venäjän federaation asevoimien yleisesi- kunnan tiedustelun päähallinto eli Tiedustelupäähallinto (ven. Glavnoye razvedyvatelnoye upravleniye, GRU4). Se toimii yleisesikunnan ja puolustusminis- terin alaisuudessa, ja voi raportoida suoraan presidentille. Tiedustelupalvelun lisäksi GRU on sotilasorganisaatio, jonka komennossa on erikoisjoukkoyksiköi- tä (voiska spetsialnogo naznacheniya, eli spetsnaz). (Bowen, 2020, ss. 1, 4.) Tiedustelupalveluna GRU vastaa Venäjän asevoimien strategisen ja takti- sen tason tiedustelusta. Keskeisiä kohteita ovat esimerkiksi ulkovaltojen ase- voimien vahvuudet ja päätöksenteko sekä teknologiahankinnat. Se hyödyntää keräyksessä ainakin henkilö-, signaali- ja kybertiedustelua. Varsinaisen tiedus- telun lisäksi GRU suorittaa niin kutsuttuja aktiivisia toimia, kuten salamurhia ja poliittista vaikuttamista, huomattavasti laajemmissa määrin kuin länsimaiset tiedustelupalvelut (Galeotti, 2016, s. 7). GRU:n alaiset spetznaz-yksiköt suoritta- vat tiedustelu-5, sabotaasi- ja muita erikoisjoukkotehtäviä. (Bowen, 2020, ss. 4–5, 9.) GRU:n toiminta on tiedustelupalveluksi poikkeuksellisen röyhkeää ja nä- kyvää. Vallitsevassa organisaatiokulttuurissa riskien hyväksyminen ja niiden

4 Viraston virallinen nimi on ollut vuodesta 2010 lähtien Glavnoye upravleniye (GU), mutta sen vanha nimi on edelleen yleisesti käytössä (Bowen, 2020, s. 1). 5 Tässä tiedustelulla ei viitata tiedustelupalveluiden tiedustelutoimintaan (engl. intelli- gence) vaan taistelukentän tiedusteluun (engl. reconnaissance).

19 ottaminen ovat korkealla tasolla. Operaatioita paljastuukin verrattain paljon. Esimerkiksi ulkomailla suoritettuja salamurhia ja niiden yrityksiä on paljastu- nut viime vuosina muutamia. Toiminnan aggressiivisuutta on selitetty sekä or- ganisaation kaksoisroolilla että venäläisten tiedustelupalveluiden välisellä re- surssi-, vastuualue- ja vaikutusvaltakilpailulla. Tämä kilpailu heikentää myös analyysin laatua, kun virastot pyrkivät raportoimaan päättäjille ennen muita. (Bowen, 2020, ss. 1, 5, 8; Galeotti, 2016, ss. 2–4.) Venäjällä otettiin 2000-luvun alussa käyttöön uusi sotilasdoktriini, jossa sodan ja rauhan välinen raja hämärtyy entisestään. Voimankäytön kynnyksen alapuolelle jääviä vaikutuskeinoja suositaan. Perinteisten psykologisten ja in- formaatio-operaatioiden lisäksi tämä tarkoittaa kyberoperaatioiden suurta mer- kitystä. GRU:n kybersuorituskyvyt sijoittuvat elektronisesta ja signaalitieduste- lusta vastaavan Kuudennen direktoraatin yksiköihin 26165 ja 74455. (Bowen, 2020, ss. 4, 13–14.) Tunnetuin GRU:hun yhdistetty kybervakoiluryhmä tunnetaan muun mu- assa nimellä Fancy Bear. Sen toimintaa on havaittu jo vuonna 2004, ja se on toi- minut aktiivisesti ainakin vuodesta 2007 lähtien (ThaiCERT, 2020, s. 296). Fancy Bear on attribuoitu yksikölle 26165, ja sen uskotaan olleen vuoden 2016 Yhdys- valtojen presidentinvaalien vaalivaikuttamisen taustalla yhdessä Cozy Bear -ryhmän kanssa (Bowen, 2020, s. 17). Fancy Bear:n muita kohteita vuosien varrella ovat olleet muun muassa länsimaiset hallintoelimet, tiedustelutoimijat, mediatalot, puolustus- ja muu teollisuus, ajatushautomot ja turvallisuusorgani- saatiot (ThaiCERT, 2020, ss. 296–305). Lisäksi Suojelupoliisi yhdisti suuren osan vuoden 2016 suomalaisiin turvallisuusviranomaisiin sekä ulko- ja turvallisuus- poliittiseen päätöksentekoon kohdistuneista kybervakoiluyrityksistä Fancy Bear -ryhmään (Suojelupoliisi, 2017, s. 13). Yksikköön 74455 puolestaan on liitetty sabotaasioperaatioista tunnettu Voodoo Bear (Bowen, 2020, s. 17). Sen tunnetuimpia operaatioita ovat iskut Uk- rainan sähköverkkoon 2015 (ThaiCERT, 2020, s. 281) ja NotPetya- kiristyshaittaohjelmakampanja 2017 (Bowen, 2020, s. 17).

2.5.2 Sotilastiedustelu Kiinassa

Kiinan sotilastiedustelu on keskitetty Kansan vapautusarmeijan (PLA) Strategi- siin tukijoukkoihin (kiinaksi zhanlüe zhiyuan budui). Se on vuoden 2015 lopussa perustettu puolustushaara, joka vastaa tiedustelun lisäksi Kiinan asevoimien avaruus-, kyber-, elektronisista ja psykologisista suorituskyvyistä. Strategiset tukijoukot ovat suoraan Kiinan kommunistisen puoleen keskussotilaskomission alaisia, ja ne on jaettu kybervoimiin (wangluo xitong bu) ja avaruusvoimiin (hangtian xitong bu). (Costello & McReynolds, 2018, ss. 1, 12–13.) Strategisten tukijoukkojen perustamisen taustalla oli tavoite keskittää ase- voimien tekninen tiedon keräys ja sen johtaminen samaan paikkaan. Samalla tiedustelu ja samoja suorituskykyjä hyödyntävät hyökkäykselliset operaatiot integroitiin toisiinsa. Suuri osa yksiköistä on siirretty sellaisenaan vanhasta or- ganisaatiosta uuteen. (Costello & McReynolds, 2018, ss. 11, 36, 42.)

20

Strategiset kybertiedustelujoukot ovat osa kybervoimia. 12 teknistä tiedus- telutoimistoa (jishu zhengcha ju) vastaa sekä kybervakoilusta että signaalitiedus- telusta. Kiinan satelliitit, mukaan lukien tiedustelusatelliitit, ovat puolestaan avaruusvoimien hallinnassa. (Costello & McReynolds, 2018, ss. 24–25.) Kiinan kyberstrategiaan kuuluu keskeisesti kybervakoilu, johon katsotaan kuuluvaksi myös immateriaalioikeuksien varastaminen. Käytännössä tämä tar- koittaa valtiollisen tason teollisuus- ja teknologiavakoilua, jolla on sekä sotilaal- lisia että taloudellisia tavoitteita. (Shakarian ym., 2013, ss. 114, 119.) Kansan vapautusarmeijan uudistusten (2015–2020) takia kyberoperaatioi- den aiemmat, jopa yksikkötason attribuutiot eivät pidä enää paikkaansa. Samat toimijat toimivat kuitenkin todennäköisesti edelleen, vaikka organisaatio niiden ympärillä on vaihtunut. Vanhat attribuutiot on kuitenkin mainittu, jotta voi- daan arvioida toimijoiden välisiä suhteita. PLA:han on liitetty seuraavia kyber- vakoilutoimijoita (ThaiCERT, 2020):

• Comment Panda o Pääesikunnan 3. osaston 2. toimisto, yksikkö 61398 • Putter Panda o Pääesikunnan 3. osaston 12. toimisto, yksikkö 61486 • Maverick Panda o PLA:n laivasto • Anchor Panda o PLA:n laivasto • Dynamite Panda o PLA:n laivasto • Karma Panda o Shenyangin sotilasalueen Teknisen tiedustelun toimisto, mahdollisesti yksikkö 65017 • Lotus Panda o Yksikkö 78020 • Samurai Panda o PLA:n laivasto • Operation Titan Rain o Pääesikunnan 3. osaston 2. toimisto, yksikkö 61398.

21

3 GROUNDED THEORY

Grounded theory -metodologialla (GT) ei ole vakiintunutta suomenkielistä ni- meä. Siitä käytetään nimiä ankkuroitu teoria, aineistolähtöinen tutkimustapa sekä usein – kuten tässä tutkielmassa – sen englanninkielistä nimeä tai osittain käännettyä grounded teoriaa. Nimitys ankkuroitu teoria viittaa siihen, että syn- tyvä teoria tai kuvaus on ankkuroitunut tutkimusaineistoon. Aineistolähtöinen tutkimustapa taas korostaa nimityksenä menetelmän aineistokeskeisyyttä. (Holopainen, Puusa & Juuti, 2020, s. 239.) GT:n juuret ovat 1960-luvulla, jolloin se sitä alettiin kehittää vastareaktio- na teorialähtöiselle tutkimukselle. Metodologian isät olivat Anselm L. Strauss ja Barney Glaser, kaksi yhdysvaltalaista sosiologia. Heidän näkemyksensä mu- kaan sosiologiassa tutkimuksessa korostettiin liikaa olemassa olevien teorioiden vahvistamista uuden teoreettisen tiedon tuottamisen kustannuksella. Kokeiltu- aan onnistuneesti teorian muodostamista aineiston pohjalta jatkuvaa vertailua hyödyntäen, Strauss ja Glaser julkaisivat metodologisen monografiansa The Discovery of Grounded Theory vuonna 1967. (Kelle, 2005.) Straussin ja Glaserin erilaiset näkemykset GT:n soveltamisesta johtivat metodologian jakautumisen eri koulukuntiin 1990-luvulla. Glaserilainen lähes- tymistapa on tiukasti induktiivinen, ja tutkijan oletetaan tutustuvan aineistoon ilman mitään ennakko-oletuksia. Straussilaisen näkökulman mukaan puoles- taan hyväksytään tutkijan esiymmärrys tutkimuksen kohteesta, jolloin päättely on luonteeltaan induktiivisdeduktiivista. Käytännön tasolla eräs merkittävä ero on se, että glaserilaisen koulukunnan mukaisessa tutkimuksessa edes tutki- musongelmaa ei määritellä etukäteen, jotta ongelma ei ohjaa analyysia. (Siitonen, 1999, ss. 28–34.) Vaikka metodologia kehitettiinkin alun perin sosiologista tutkimusta var- ten, se soveltuu käytettäväksi myös muilla tieteenaloilla (Strauss & Corbin, 1990, s. 26). Vuoteen 1997 mennessä se oli levinnyt muun muassa laskentatoimen, liikkeenjohdon, sosiaalityön ja sairaanhoidon tutkimukseen (Strauss & Corbin, 1997, s. vii). Sosiaalitieteiden menetelmiä ja käsitteitä voidaan myös laajentaa käsittämään yllättäviäkin tutkimuskohteita. Tästä esimerkkinä toimii elämäker- takäsitteen sitominen laitteisiin (Wiener, Strauss, Fagerhaugh & Suczek, 1997).

22

GT:lle on koulukunnasta riippumatta ominaista puhdas aineistolähtöisyys. Sillä on yhteisiä piirteitä tapaustutkimuksen ja etnografian kanssa, mutta ha- vaintoja ei esimerkiksi pyritä asettamaan valmiiseen teoreettiseen viitekehyk- seen. (Holopainen ym., 2020, s. 239.) GT:n menetelmiä voidaan käyttää sekä teorian muodostukseen että kuvai- levaan tutkimukseen. Teorialle konstruktina on Straussin ja Corbinin (1990) mukaan ominaista, että aineistoa tulkitaan, ja sen pohjalta muodostetaan korke- amman abstraktiotason konsepteja. Lisäksi muodostettujen konseptien keski- näiset suhteet kuvataan. Kuvauksessa taas tulkintaa tehdään vain vähän, jos lainkaan. (Strauss & Corbin, 1990, s. 29.) Menetelmässä käytettävät tutkimusaineistot ovat moninaisia, kuten laa- dullisessa tutkimuksessa yleensä. Mahdollisia lähteitä ovat esimerkiksi haastat- telut, havainnointi, videot ja muut tallenteet sekä kirjallisuus. Corbin ja Strauss (2008) jakavat kirjallisuuden tekniseen ja ei-tekniseen kirjallisuuteen. Näistä ensimmäisen muodostavat tutkimusraportit sekä teoreettiset ja filosofiset jul- kaisut, joita ei lähtökohtaisesti käytetä tutkimusaineistona. Teknistä kirjallisuut- ta voidaan kuitenkin hyödyntää muun muassa parantamaan tutkijan teoreettis- ta herkkyyttä ja herättelemään kysymyksiä. Ei-teknistä kirjallisuutta (kirjeitä, elämäkertoja, raportteja, sanomalehtiä jne.) voidaan käyttää edellä mainittujen lisäksi sekä tutkimusaineistona sinällään että täydentämään haastattelu- tai ha- vaintoaineistoja. (Corbin & Strauss, 2008, ss. 19, 36–39.) Menetelmän avulla huolellisesti tuotettu teoria soveltuu tutkimusilmiön tarkasteluun. Teorian sopivuus (engl. fit) tutkimuskohteeseen saavutetaan joh- tamalla se monipuolisesta aineistosta, tutkimuskohteen todellisuudelle uskolli- sella tavalla. Koska teoria pohjautuu kohteen todellisuuteen, sekä alan tutkijat että harjoittajat voivat ymmärtää sen ja pitää sitä järkevänä. Jos aineisto kuvaa tutkimusilmiötä riittävän kattavasti ja sen pohjalta tehdyt tulkinnat ovat riittä- vän abstrakteja, teoriaa voidaan soveltaa ilmiön tarkasteluun myös muissa kon- teksteissa. (Strauss & Corbin, 1990, s. 23.) Eräs GT:hen olennaisesti liittyvä termi on teoreettinen herkkyys. Se tar- koittaa tutkijan tietoisuuttaa aineiston merkitysten vivahteista. Tämä näkyy siinä, että tutkija osaa erottaa aineistosta olennaiset asiat käsitteellisellä tasolla. Tutkijan teoreettinen herkkyys rakentuu kirjallisuuden sekä ammatillisten ja henkilökohtaisten kokemusten pohjalta. Lisäksi analyysiprosessi itsessään ke- hittää teoreettista herkkyyttä tutkimusilmiötä kohtaan. Tämä herkkyys mahdol- listaa aineistoon ankkuroidun, käsitteellisesti tiiviin ja hyvin integroidun teori- an muodostamisen. (Strauss & Corbin, 1990, ss. 41–43.) GT:n tarkoituksena on määrittää ne olosuhteet, jotka aiheuttavat tietyt tutkimusilmiöön liittyvät toiminnot ja niiden seuraukset. Syntyvä teoria sovel- tuu vain tutkittuihin olosuhteisiin. Teorian yleistettävyys siis riippuu täysin siitä olosuhteiden variaatiosta, joka siihen tuodaan teoreettisen otannan syste- maattisuudella ja laajuudella. GT:n avulla muodostettua teoriaa voidaan myös laajentaa myöhemmässä tutkimuksessa lisäämällä variaatiota. (Strauss & Corbin, 1990, s. 251.)

23

GT:tä kohtaan on esitetty myös kritiikkiä. Esimerkiksi Metsämuuronen (2006a, ss. 101–102) on koonnut kritiikkiä aiemmasta kirjallisuudesta. Joidenkin kriitikoiden mukaan tieteellistä tutkimusta ei voi tehdä ilman teoriapohjaa. Tä- hän voidaan vastata sillä, että GT-tutkimuksenkin löydöksiä tulee peilata aiem- paan teoreettiseen tietoon, vaikka ne eivät rakennukaan lähtökohtaisesti teo- reettiselle pohjalle. Tämä uuden ja vanhan tiedon vuoropuhelu on tutkimuksen tieteellisyyden edellytys (Puusa & Juuti, 2020, s. 80). Toinen Metsämuurosen (2006a) esille nostama kritiikki on, että tutkijan tiedostetut tai tiedostamattomat ennakko-oletukset estävät tulosten aidon objektiivisuuden. Puusa ja Julkunen (2020, ss. 181, 183) huomauttavat kuitenkin, että laadullisen tutkimuksen tekijät hyväksyvät, ettei täydellistä objektiivisuutta voi saavuttaa ja että avoin subjek- tiivisuus voi jopa rikastuttaa analyysia.

3.1 Tutkimusprosessi

Tässä tutkielmassa sovellettu versio edustaa GT:n induktiivisdeduktiivista kou- lukuntaa. Metodologian ovat kehittäneet Strauss ja hänen entinen oppilaansa Juliet Corbin. Uusimmissa, Straussin kuoleman (1996) jälkeen julkaistuissa ver- sioissa korostuvat Corbinin metodologiset tulkinnat ja tutkimusote. Tutkielman menetelmällisenä päälähteenä käytettiin Corbinin ja Straussin teosta Basics of Qualitative Research: Techniques and Procedures for Developing Grounded Theory (3. painos, 2008). Teoksen ohjeita on täydennetty aiempien painosten tiedoilla, mutta vain silloin, kun ne eivät ole ristiriidassa uudemman painoksen kanssa. Tutkimusprosessi on kuvattu pääpiirteittäin kuviossa 1. Prosessi ei todellisuu- dessa ole näin lineaarinen, vaan prosessissa saatetaan esimerkiksi joutua pa- laamaan taaksepäin.

KUVIO 3 Tutkimusprosessi

24

3.1.1 Muistiot ja kaaviot

Ennen varsinaiseen tutkimusprosessiin perehtymistä on hyvä tutustua kahteen GT:n keskeiseen työkaluun: muistioihin ja kaavioihin. Muistiot ovat analyysin kirjallisia tuotoksia; kaaviot analyysin avulla syntyneitä visuaalisia malleja kä- sitteiden välisistä suhteista. Erityisesti muistioita hyödynnetään tutkimuspro- sessin alkumetreiltä lopullisen teorian muodostamiseen asti. Erilaiset kaaviot ovat hyödyllisimmillään aksiaalisen ja selektiivisen koodauksen yhteydessä. (Corbin & Strauss, 2008, ss. 117–118.) Muistioiden käytössä on tärkeintä, että niitä tekee jatkuvasti analyysin edetessä. Muistiot ovat tutkijaa itseään varten, joten niiden tyylillä ja toteutus- tavalla ei ole merkitystä, kunhan ne sopivat tutkijalle. Liiallinen pyrkimys jon- kinlaiseen oikeellisuuteen saattaa tukahduttaa tutkijan luovan ajattelun, jota laadullinen analyysi vaatii. Tutkija ei kuitenkaan voi muistaa kaikkia pitkän tutkimusprosessin aikaisia ajatuksiaan kirjaamatta niitä ylös. Muistioiden kir- joittaminen myös tukee kompleksista ja kumulatiivista ajatustyötä. Niiden sisäl- tö, pituus ja abstraktion taso vaihtelevat analyysin edetessä. Muistioiden käyt- tökohteita ovat

• aineiston avoin tutkiskelu • käsitteiden ja kategorioiden ominaisuuksien ja ulottuvuuksien tun- nistaminen ja kehittely • kysymysten esittäminen ja vertailujen tekeminen • paradigman työstäminen • tarinan juonen kehittely (Corbin & Strauss, 2008, s. 118).

Kaavioiden merkittävä etu on niiden käsitteellisyys. Ne pakottavat tutkijan ajat- telemaan käsitteellisesti ja erottamaan aineistosta oleellisen. Kaavioiden avulla tutkija voi järjestellä aineistoaan, pitää kirjaa käsitteistä ja niiden välisistä suh- teista sekä integroida ajatuksiaan. Niiden avulla voi myös selittää löydöksiään muille. Kuten muistiotkin, myös kaaviot muuttuvat monitahoisemmiksi ja abst- raktimmiksi. Lopullisen teoreettisen viitekehyksen esittäminen kattavassa, tii- viissä ja loogisessa kaaviossa kertoo omalta osaltaan hyvästä analyysistä. (Corbin & Strauss, 2008, ss. 125–127.)

3.1.2 Aineistonkeruu ja analyysi

Aineistonkeruuta ohjaa teoreettinen otanta. Käytännössä tämä tarkoittaa, että tutkija kerää uutta aineistoa analyysin edetessä, kun aineistosta nouseviin, kes- keisiin käsitteisiin liittyviin kysymyksiin ei löydy vastauksia jo kerätystä aineis- tosta (Corbin & Strauss, 2008, s. 144). Ihannetapauksessa aineiston kerääminen ja analyysi siis vuorottelevat. Tämä voi tarkoittaa myös jo käsitellyn aineiston uutta analysointia myöhemmässä vaiheessa (Strauss & Corbin, 1990, s. 181). Aineiston kerääminen lopetetaan, kun saavutetaan käsitteiden ja teoreettinen saturaatio. Käsitteen saturoituminen tarkoittaa sitä, että sen ominaisuudet, ulot-

25 tuvuudet ja näiden variaatiot saadaan selville (Corbin & Strauss, 2008, s. 195). Teoreettinen saturoituminen puolestaan tarkoittaa, että kaikissa kategorioissa on saavutettu saturaatio (Corbin & Strauss, 2008, s. 263). Tällöin aineiston ke- räämisen ja analyysin jatkaminen ei tuota enää lisäarvoa tutkimukselle. Tärkeimpiä analyysityökaluja ovat kysymysten esittäminen ja vertailut. Kysymysten käytön arvo on siinä, että ne johtavat tutkijan yhä syvällisempään vuoropuheluun aineiston kanssa. Kysymykset ovat hyödyllisiä kaikissa tutki- muksen vaiheissa, mutta kysymysten luonne muuttuu analyysin edetessä ja tutkijan teoreettisen herkkyyden kehittyessä. Vastaukset esitettyihin kysymyk- siin voivat joko löytyä aineistosta tai tutkija voi vastata niihin esitietämyksensä pohjalta, jolloin ne ohjaavat teoreettista otantaa. Esitietämykseen pohjautuvia vastauksia ei kuitenkaan voi käyttää suoraan analyysissä, vaan ne ovat tilapäi- siä oletuksia, jotka pitää joko vahvistaa tai kumota aineiston avulla. (Corbin & Strauss, 2008, ss. 69–73.) Vertailutekniikoita ovat jatkuva vertailu ja teoreettiset vertailut. Jatkuvas- sa vertailussa aineiston tapahtumia vertaillaan toisiinsa koko analyysiprosessin ajan, huomioiden eroja ja samankaltaisuuksia. Tällöin tutkija pystyy erottamaan kategoriat toisistaan ja toisaalta tunnistamaan kategorioiden ominaisuuksia ja ulottuvuuksia. Teoreettista vertailua käytetään, kun tutkija ei tiedä tapahtuman merkitystä tai miten sen luokittelisi. Tällöin tutkija voi verrata tapahtumaa jo- honkin tuttuun, aineiston ulkopuoliseen tapahtumaan ominaisuuksien ja ulot- tuvuuksien tasolla. (Corbin & Strauss, 2008, ss. 73–75.) Analyysi aloitetaan avoimella koodauksella. Avoimen koodauksen tarkoi- tuksena on löytää, nimetä ja kategorioida käsitteitä sekä kehittää kategorioita niiden ominaisuuksien ja ulottuvuuksien suhteen (Strauss & Corbin, 1990, s. 181). Aluksi lähdeaineisto luetaan läpi sitä sen enempää analysoimatta. Tämän jälkeen aineistoa käydään läpi rivi riviltä, jopa sana sanalta, aivoriihimäisellä lähestymistavalla; aluksi kerätään mahdollisimman paljon aineiston herättämiä ajatuksia yhtäkään hylkäämättä. Tulkinnallinen käsite muodostetaan vasta, kun on tutkiskeltu useita mahdollisia merkityksiä ja kontekstia. (Corbin & Strauss, 2008, ss. 163–164, 186.) Avoimen koodauksen kanssa vuorottelee aksiaalinen koodaus. Sen tarkoi- tuksena on liittää kategorioita toisiinsa paradigmamallin avulla (Strauss & Corbin, 1990, s. 185). Corbinin ja Straussin (2008, s. 87) mukaan paradigmalla tarkoitetaan analyyttista strategiaa, jonka avulla tutkija voi tunnistaa konteks- tuaalisia tekijöitä sekä kontekstin ja prosessin välisiä suhteita. Kontekstilla tar- koitetaan tilanteiden, olosuhteiden tai ongelmien muodostamia rakenteellisia mikro- ja makrotason oloja. Prosessi taas kuvaa tapahtumien, tilanteiden tai ongelmien vaikutusta niiden vasteisiin. (Corbin & Strauss, 2008.) Paradigmamallin pääosat ovat olosuhteet (engl. conditions), toiminta tai vuorovaikutukset (inter/actions) ja seuraukset (consequences). Osa aineistosta johdetuista kategorioista on siis muihin kategorioihin vaikuttavia olosuhteita tai niistä johtuvia seurauksia. Kategorioiden järjestely paradigman mukaisesti ei ole välttämättä itsestään selvää kategorioiden nimien perusteella, vaan tutkijan tulee tehdä päätelmät aineiston perusteella. (Corbin & Strauss, 2008, ss. 89–90.)

26

Toinen aksiaalisen koodauksen analyyttinen työkalu on ehto- seurausmatriisi (engl. conditional/consequential matrix; ks. kuvio 2). Matriisin avulla voidaan huomioida esimerkiksi analyysin kannalta oleellisia mikro- ja makrotason olosuhteita sekä huomioida eri toimijoiden näkökulmia. Se on tar- koitettu ensisijaisesti käsitteelliseksi työkaluksi, minkä takia tasot on nimetty hyvin abstraktisti. Matriisin ulkokehältä sisäänpäin liikuttaessa siirrytään mak- rotasolta kohti mikrotasoa. Tutkimusilmiöitä voidaan tarkastella millä tahansa matriisin tasolla. (Corbin & Strauss, 2008, ss. 90–91.)

KUVIO 4 Ehto-seurausmatriisi (Corbin & Strauss, 2008, s. 94, muokattu)

27

Ehto-seurausmatriisia voidaan käyttää myös ehdollisten polkujen (engl. condi- tional paths) jäljittämiseen. Tällöin tiettyä tapahtumaa seurataan eri tasoilla, ta- voitteena selvittää miten tapahtuman syyt ja seuraukset liittyvät toisiinsa. Teo- rian rakentamiseksi ei siis riitä, että esimerkiksi toteaa kansainvälisen lainsää- dännön vaikuttavan tiedustelumenetelmien kehitykseen, vaan nämä kategoriat on sidottava toisiinsa matriisin tasojen avulla. (Strauss & Corbin, 1990, ss. 166– 168.)

3.1.3 Teoreettinen integraatio

Saturaation saavuttamisen jälkeen siirrytään selektiiviseen koodaukseen. Selek- tiivisen koodauksen tavoitteena on integroida käsitteet ydinkategorian (engl. core category) ympärille sekä jalostaa kategorioita, jotka tarvitsevat vielä hiomis- ta (Strauss & Corbin, 1990, s. 217). Tätäkin koodausvaihetta tuetaan teoreettista otantaa hyödyntävällä aineistonkeruulla. Selektiivinen koodaus alkaa ydinkategorian valinnalla. Se voi olla yksi jo valmiiksi olemassa olevista kategorioista, tai tutkija voi kehittää abstraktimman termin tai fraasin, johon keskeiset kategoriat voidaan sisällyttää. Vaikka tutkija päätyisi keksimään tässä vaiheessa uuden kategorian, sen tulee olla yhdenmu- kainen aineiston kanssa. Ydinkategorian, kuten muidenkin kategorioiden, tulee ominaisuudet ja ulottuvuudet tulee määritellä. Määritelmien tulee pohjautua aineistoon. Ydinkategoria saa syvyyttä ja selitysvoimaa, kun siihen sidotaan muita kategorioita. Näin syntyy teoreettinen viitekehys. (Corbin & Strauss, 2008, ss. 104–105, 265.) Integraation syntymistä voidaan helpottaa erilaisilla tekniikoilla. Näitä ovat juonen kirjoittaminen, kaavioiden käyttö sekä muistioiden kertaaminen ja järjestely. Juonen kirjoittamisessa tutkija kirjaa muutamalla lauseella, mistä ai- neistossa on kyse; millaisen tarinan se kertoo. Tämä kuvaava kertomus antaa pohjan tutkimusilmiön teoreettiselle selitykselle. (Corbin & Strauss, 2008, ss. 106–107.) Kaavioiden käyttö on vaihtoehto juonen kirjoittamiselle. Tähän tarkoituk- seen laaditut kaaviot ovat abstrakteja, visuaalisia esityksiä aineistosta. Niistä pitäisi selvitä vaivatta kategorioiden väliset suhteet. Kaaviot ovat erityisen hyödyllisiä, jos tutkijalla on vahva visuaalinen hahmotuskyky tai jos hän on käyttänyt kaavioita myös aiemmissa analyysivaiheissa. (Corbin & Strauss, 2008, ss. 107–108.) Lähestymistavasta riippumatta muistioiden pariin palaaminen on toden- näköisesti hyödyllistä tässä vaiheessa. Esimerkiksi tutkimuksen alkuvaiheessa on voinut syntyä jokin käsite, jonka merkitys ei silloin vielä selvinnyt. Muistioi- ta uudelleen järjesteltäessä voi myös nousta esiin uusia kategorioiden välisiä suhteita. (Corbin & Strauss, 2008, ss. 108–109.) Kun teoreettinen viitekehys on saatu muodostettua, siitä pitää jalostaa teo- ria. Tämä tehdään kolmessa osassa: ensin tarkastetaan, onko viitekehyksessä sisäisiä epäjohdonmukaisuuksia tai sen logiikassa aukkoja, toiseksi täydenne- tään puutteelliset kategoriat ja karsitaan ylimääräiset sekä lopuksi validoidaan

28 lopullinen teoria peilaamalla sitä aineistoon. (Corbin & Strauss, 2008, ss. 270– 274.)

3.2 Tieteenfilosofiset lähtökohdat

Corbin ja Strauss (2008, s. 2) esittävät, että heidän metodologiansa epistemolo- ginen tausta on Chicagon koulukunnan (symbolisessa) interaktionismissä ja pragmatismissa. Interaktionismi ei korostu tässä tutkielmassa, koska tutkimus- kohteeseen ei kuulu (suoraa) ihmisten välistä vuorovaikutusta. Chicagon kou- lukunnan mukaan ilmiöitä tulee tutkia niiden kontekstissa (Clarke, 1997, s. 66), mikä toteutui metodologiaan kuuluvan kontekstianalyysin muodossa. Pragma- tistiseen tietoteoriaan kuuluu realismi; oletus ulkoisesta maailmasta, jonka kanssa on toimittava. Myös tutkijan tausta luonnon- ja insinööritieteissä korostaa realistista maailmankuvaa. Tähän taustaan sopii myös luonnontiedemäinen tutkimuson- gelma, ulkoapäin havainnoitavan ilmiön kuvaus. Tutkija ulottaa realistisen maailmankuvansa koskemaan myös kybertoimintaympäristöä. Kuten fyysi- nenkin maailma, se on kokijan ulkopuolinen, kokijasta riippumatta olemassa oleva maailma. Realismiin kuuluvan postpositivismin mukaisesti myöskään kybertoimintaympäristön ilmiöitä ei voida kuvata kuin epätäydellisesti ja to- dennäköisyyksien avulla. Saman näkemyksen jakavat myös Kuusinen ja Kuu- sinen (2015, s. 35). Realistiseen tieteenfilosofiaan kuuluu objektiivisuuden tavoittelu. Tämä on otettu huomioon tutkielman tutkimusasetelmassa. Tutkimusaineiston luon- teesta johtuen tutkija ei vaikuta itse tutkittavaan ilmiöön eikä siihen, mitä ja mi- ten ilmiötä kuvataan aineistossa. Subjektiivisuus rajoittuu siis tulkintojen teke- miseen ja niiden merkitysten arviointiin.

3.3 Tutkimuksen laadun arviointi

Laadullisen tutkimuksen arvioinnissa käytetään monenlaisia kriteerejä. Yleises- ti käytettyjä käsitteitä ovat muun muassa validiteetti, reliabiliteetti sekä luotet- tavuus tai uskottavuus. Lisäksi tulee tarkastella tutkimuksen eettisyyttä. Validi- teetti ja reliabiliteetti ovat käsitteinä periytyneet kvantitatiivisesta tutkimuspe- rinteestä, mutta niiden määrittely laadullisen tutkimuksen kontekstissa ei ole yhtä yksiselitteistä kuin määrällisessä tutkimuksessa. Validiteetilla tarkoitetaan laadullisessa tutkimuksessa esimerkiksi tutki- musilmiön eheyttä ja sitä, että tulokset vastaavat kyseisen ilmiön luonnetta. Tutkimuksen validiutta voidaan lisätä vertailemalla keskenään useita samaa tutkimuskohdetta käsitteleviä aineistoja (Aaltio & Puusa, 2020, s. 176), mikä on osa GT:hen kuuluvaa jatkuvaa vertailua.

29

Validiteetti voidaan jakaa sisäiseen ja ulkoiseen validiteettiin. Virtasen (2006, s. 198) mukaan Eskola ja Suoranta (2005) määrittelevät sisäisen validitee- tin tutkijan tieteellisenä otteena ja substanssiosaamisena. Aaltio ja Puusa (2020, s. 172) korostavat päättelyketjujen esille tuomista sisäisen validiuden varmista- miseksi. Ulkoinen validiteetti taas merkitsee tulosten yleistettävyyttä (Metsämuuronen, 2006b, s. 56). Yleistettävyys ei kuitenkaan ole kaikessa laadul- lisessa tutkimuksessa itsestään selvä, keskeinen vaatimus (Puusa & Julkunen, 2020, s. 182). Reliabiliteetti puolestaan tarkoittaa yleisesti tulosten tai analyysin toistet- tavuutta. Uusitalon (1991, s. 84) mukaan kvalitatiivisessa tutkimuksessa relia- biliteetti on saavutettavissa noudattamalla yksiselitteisiä luokittelu- ja tulkinta- sääntöjä aineiston käsittelyssä. Puusan ja Julkusen (2020, s. 182) mukaan taas reliabiliteettia vahvistaa tutkittavan ilmiön monipuolinen ja perinpohjainen ku- vaus. Luotettavuus ja uskottavuus ovat käsitteinä kattavampia, mutta epämää- räisempiä. Luotettavuuden voidaan katsoa sisältävän vaatimukset validiteetista ja reliabiliteetista (Aaltio & Puusa, 2020), mutta näitä termejä ei aina haluta käyttää laadullisesta tutkimuksesta (Corbin & Strauss, 2008, s. 301). Tutkimuksen luotettavuus tarkoittaa muun muassa sitä, että tulokset eivät riipu satunnaistekijöistä. Luotettavuutta voidaan lisätä tutustumalla syvällisesti kohdeilmiöön ja käsittelemällä sitä eri näkökulmista. Myös tieteenfilosofisten lähtökohtien, oman subjektiivisuuden ja metodologisten valintojen huomioimi- nen lisäävät luotettavuutta ja helpottavat sen arviointia. (Aaltio & Puusa, 2020) Laadullisen tutkimuksen yleisten laatutekijöiden lisäksi tutkielmassa huomioidaan menetelmäkohtaiset laatuvaatimukset. Corbin esittelee kymme- nen kriteeriä erityisesti käytetyllä metodilla tehdyn tutkimuksen laadun arvi- ointiin (Corbin & Strauss, 2008, ss. 305–307):

1. löydösten sopivuus 2. löydösten sovellettavuus 3. konseptien kypsyys 4. konseptien kontekstualisointi 5. loogisuus 6. syvyys 7. variaatio 8. luovuus 9. sensitiivisyys 10. näyttö muistioiden käytöstä.

Löydösten sopivuutta (1; engl. fit) voidaan arvioida sillä, sopivatko ne tutki- muksen lukijoiden kokemuksiin aiheesta. Soveltuvuudesta (2) puolestaan ker- too se, jos löydökset tarjoavat uusia selitysmalleja tai niitä voidaan hyödyntää päätöksenteossa tai toiminnan kehittämisessä. Laadukkaan GT-tutkimuksen löydökset on järjestetty ominaisuuksiensa ja ulottuvuuksiensa perusteella kyp- sien (3), kontekstiin sidottujen (4) konseptien ympärille. Loogisuuteen (5) liittyy sekä löydösten järkevyys että metodologisten valintojen perustelu. Substanssin

30 syvyys (6) erottaa merkityksettömät löydökset merkityksellisistä. Tuloksissa tulee näkyä myös variaatio (7) konseptien ominaisuuksissa ja niiden ulottu- vuuksissa. Tutkimuksen pitää myös tuottaa jotain uutta, luovaa ja innovatiivis- ta (8), tai yhdistellä vanhoja ideoita uusilla tavoilla. Sensitiivisyydellä (9) tarkoi- tetaan sitä, että tutkimusta ohjaa analyysi eikä tutkijan ennakko-oletukset. Muistioiden käyttö (10) on välttämätöntä, koska tutkijan muisti on rajallinen ja valikoiva. Muistioiden tulisi myös tulla syvällisemmiksi ja abstraktimmiksi tut- kimuksen edetessä. (Corbin & Strauss, 2008, ss. 305–307.)

31

4 AINEISTO JA SEN ANALYYSI

Tutkimusaineisto koostui tietoturvaa tutkivien organisaatioiden, pääasiassa tietoturvayritysten ja ajatushautomoiden, julkaisuista. Julkaisut ovat raportteja ja blogikirjoituksia. Lisäksi aineistossa on valtiollisten CERT- ja muiden viran- omaisten tiedotteita. On tärkeää huomioida, että aineiston tuottaneiden tahojen tutkimus ei ole luonteeltaan tieteellistä. Aineisto on kokonaisuudessaan julkista ja saatavilla julkisista lähteistä. Ennen aineiston keräämistä oli tunnistettava ensinnäkin Venäjän ja Kiinan sotilastiedusteluorganisaatiot ja sitten niihin liitetyt kybertoimijat. Kybertoimi- joiden tunnistamisessa hyödynnettiin ThaiCERT:n meta-analyysiä (2020). Tut- kielmassa luotetaan meta-analyysissä esitettyjen attribuutioiden oikeellisuuteen, eikä oteta niihin kantaa. Aineiston kerääminen aloitettiin etsimällä kustakin toimijasta tietoa eri vuosilta sen tähänastisen elinkaaren ajalta. Tässä vaiheessa teoreettisen otannan peruste olivat tutkimuskysymykset. Aineiston keruuta jatkettiin ryhmien osalta aina, kun aineisto herätti sellaisia kysymyksiä, joihin ei löytynyt vastausta jo kerätystä aineistosta. Teoreettisen otannan peruste oli siis kysymyksen osoitta- ma tietotarve. Aineiston keräämistä ja analyysiä hankaloitti se, että toimijoiden ja niiden käyttämien työkalujen nimet poikkeavat toisistaan eri lähteissä. Tämä on tyypil- listä tietoturvatutkimuksessa; kukin tutkijataho nimeää havaitsemansa uhka- toimijat ja haittaohjelmat omalla tavallaan. Tutkijat pyrkivät sitten yhdistämään eri löydöksiä jälkikäteen toisiinsa julkaisuissa esiintyvien yhtäläisyyksien avulla. Myös eri haittaohjelmatyyppien nimitysten käyttö vaihtelee, esimerkiksi taka- portti ja etähallintatroijalainen voivat tarkoittaa samaa tai hieman eri asiaa. Jokainen aineisto luettiin ensin läpi yleiskuvan saamiseksi. Toisella luku- kerralla aineistosta poimittiin tiedot aikajanalle. Kolmannella lukukerralla teks- tiä analysoitiin lause kerrallaan avointa koodausta varten. Avoimesta koodauk- sesta kirjoitettiin aina muistio, johon kerättiin tiedot mahdollisista konsepteista sekä esiin nousseet kysymykset.

32

4.1 Venäläiset toimijat

Venäläisiä sotilastiedusteluun yhdistettyjä kybertoimijoita ovat Fancy Bear ja Voodoo Bear. Kummastakin toimijasta löytyi niin paljon aineistoa, että teoreet- tista otantaa pystyi hyödyntämään täysmääräisesti. Kaikkiin aineiston pohjalta heränneisiin kysymyksiin ei kuitenkaan löytynyt vastausta.

4.1.1 Fancy Bear

Fancy Bear on kehittänyt menetelmiään järjestelmällisesti ja suunnitelmallisesti ainakin vuodesta 2007 lähtien. Haittaohjelmien kehittäjien taitotaso on korkea, ja haittaohjelmien kehityksessä pyritään joustavuuteen, jolloin niitä voidaan käyttää pitkään ja räätälöidä kohdejärjestelmän mukaan. (FireEye, 2014, s. 5.) Fancy Bearin toiminta on pääsääntöisesti tiedon hankintaa. Sen kohteita ovat olleet muun muassa länsimaiset demokraattiset instituutiot (esimerkiksi Yhdysvalloissa ja Saksassa) sekä ranskalainen televisiokanava TV5Monde (ESET, 2016, s. 12). Venäjän strategiset tavoitteet vaikuttavat merkittävästi Fancy Bearin toi- mintaan. Ryhmän tavoitteet ovat sidoksissa kansainväliseen geopolitiikkaan (ESET, 2016, s. 12). Vuonna 2014 Fancy Bearin toiminnassa tapahtui strateginen muutos, kun Venäjä alkoi hyödyntää kyberoperaatioita informaatio- operaatioiden tukena (FireEye, 2017, s. 5). Tähän liittyy olennaisena osana vaa- livaikuttaminen Ukrainassa 2014 ja Yhdysvalloissa 2016 (FireEye, 2017, s. 5). Kehitystyötä ajavat tavoitteet voivat olla myös taktisia tai operatiivisia, ja kehitystyö täten opportunistisempaa. Tästä esimerkki on vuosina 2014–2016 Itä- Ukrainassa käytetty, tykistön Android-sovelluksesta kehitetty haittaohjelmalli- nen versio. Alkuperäinen Android-sovellus oli jaossa ukrainalaisella sotilasfo- rumilla, ja Fancy Bear korvasi sen omalla versiollaan. Haittaohjelma mahdollisti sovelluksen käyttäjien paikkatiedon ja kommunikaation seurannan. Kyseessä oli Fancy Bear:n ensimmäinen Android-haittaohjelma. (Crowstrike, 2017.) Toinen esimerkki taktisesti motivoidusta toiminnasta oli hyökkäys kemial- listen aseiden kieltojärjestö OPCW:tä kohtaan vuonna 2018. Hyökkäyksessä ei käytetty perinteisiä verkon kautta levitettäviä haittaohjelmia, vaan operaattorit vakoilivat järjestön päämajan langatonta verkkoa lähietäisyydeltä Haagissa. Käytetyt menetelmät olivat teknisesti yksinkertaisia; langatonta verkkoa kuun- neltiin paneeliantennin avulla, ja kerätyt tiedot ladattiin tietokoneelle. Operaat- torit pyrkivät peittämään toimintaansa, mutta yhden tekijän kannettavalta tie- tokoneelta löytyi tietoja aiemmista operaatioista. (Eichelsheim, 2018.) Kohdistettu kalastelu (engl. spearphishing) on Fancy Bearin ensisijainen keino saada ensimmäinen jalansija kohdejärjestelmissä. Syöttisähköposteja luo- daan myös kohteen omalla kielellä, kuten georgiaksi (FireEye, 2014, s. 7). Säh- köpostissa on joko haittaohjelman sisältävä liitetiedosto tai linkki kalastelusi- vulle. Liitetiedostoissa suositaan Microsoft Office -tiedostoja (FireEye, 2014, s. 8), pdf-tiedostoja ja niihin liittyviä Flash-haavoittuvuuksia (ESET, 2016, s. 18;

33

Falcone & Lee, 2016; Falcone, 2018b). Ensimmäiseen pääsyyn voidaan käyttää myös teknisempiä menetelmiä, kuten Internetiin auki olevia palvelimia (FireEye, 2017, s. 12), aidon verkkosivun kävijöiden ohjausta lataamaan haitta- ohjelma ennen sivun lataamista (engl. watering hole attack) (ESET, 2016, s. 20) sekä IoT-laitteita (MSRC, 2019). Fancy Bear on kehittänyt useita omia haittaohjelmaperheitä. Näitä ovat muun muassa takaportit CHOPSTICK, EVILTOSS ja GAMEFISH, lataustyöka- lut SOURFACE ja CORESHELL, kirjautumistietojen keräämiseen tarkoitettu OLDBAIT (FireEye, 2017, s. 10), USBSTEALER (Calvet, 2014), monikomponent- tinen Zebrocy (ESET Research, 2018; Falcone, 2018a) sekä bottiverkkojen luomi- seen käytettävä VPN Filter (MSRC, 2019). Uusimpia haittaohjelmaperheitä ovat vuonna 2019 havaitut NimbleDown ja Zekadero (CrowdStrike, 2020, s. 59) sekä vuonna 2020 käyttöön otettu kokonaisvaltainen Drovorub- haittaohjelmakokoelma (NSA & FBI, 2020). NimbleDownin ja Zekaderon tyyp- pejä ei ole julkaistu. Kehitystyössä on hyödynnetty eri ohjelmointikieliä, ja haittaohjelmia on kehitetty eri käyttöjärjestelmiin. Käytettyjä ohjelmointikieliä ovat ainakin C++ ja Delphi (ESET, 2016, ss. 27, 41, 81), Go (CISA, 2020) sekä Autolt, VB.NET ja C# (Falcone, 2018a). Kohteina olevia käyttöjärjestelmiä ovat olleet ainakin Win- dows, OS X ja Linux (ESET, 2016, ss. 27, 41; OS X myös Creus, Halfpop & Falcone, 2016) sekä iOS ja Android (Crowstrike, 2017, s. 7). Kerätyn tiedon siirtämiseen käytetään useita eri tekniikoita. Fancy Bearin takaportit voivat hyödyntää HTTP-protokollaa tai kohteen omaa sähköposti- palvelinta (FireEye, 2014, s. 28). Fyysisesti erotetuista (engl. air gapped) tietover- koista pyritään hankkimaan dataa kopioimalla tiedostoja paikallisesti (FireEye, 2014, s. 28) tai USB-massamuistien avulla (Calvet, 2014). Fancy Bear käyttää myös valmiita työkaluja. Esimerkiksi uusien kohteiden skannauksessa on käytetty valmista ilmaistyökalua (nmap). Valmiista työka- luista, kuten salasanojen keräämiseen käytettävä Mimikatz, on myös muokattu omia versioita (Bitdefender, 2015, ss. 6–7). Lateraaliseen liikkeeseen kohdejärjes- telmässä käytetään myös järjestelmässä valmiiksi olevia (FireEye, 2017, s. 10) ja julkisia työkaluja (Microsoft, 2015, s. 14). Fancy Bear hyödyntää nollapäivähaavoittuvuuksia. Ensimmäiset kuusi nollapäivähaavoittuvuutta havaittiin vuonna 2015 (ESET, 2016, s. 9). Nollapäi- vien laaja hyödyntäminen kertoo runsaista resursseista; joko henkilöstön tulee osata löytää haavoittuvuudet ja hyödyntää niitä tai toimijalla olla rahaa ostaa valmiit hyväksikäyttökoodit (engl. exploit). Myös jo tunnettuja haavoittuvuuk- sia käytetään, koska kaikki eivät kuitenkaan päivitä ohjelmistojaan (Microsoft, 2015, s. 8). Haavoittuvuudet ovat laajasti käytössä olevissa ohjelmistoissa, kuten Microsoft Office, Adobe Acrobat Reader, Adobe Flash Player, Windows ja Java (ESET, 2016, s. 9). Useissa Fancy Bearin haittaohjelmissa on haittaohjelmien analysointia vai- keuttavia vasta-vastavakoiluominaisuuksia. Näitä ovat muun muassa takai- sinmallinnuksen (engl. reverse engineering) vaikeuttaminen ylimääräisillä kone- käskyillä, koodin obfuskointi eli sen tarkoituksen peittäminen ja salauksien

34 käyttö verkkoliikenteessä (FireEye, 2014, ss. 20–21). Joissain kohdeverkoissa on myös havaittu Fancy Bearin oma, VPN-yhteydellä liitetty Kali Linux6 -kone, jolloin toimijan omat työkalut eivät näy ulospäin (Microsoft, 2015, ss. 15–16). Komentopalvelimien sijainti on pyritty piilottamaan esimerkiksi käyttämällä kerrostettua verkkoinfrastruktuuria välityspalvelimineen (Falcone & Lee, 2016). Erilaisten tekniikoiden käyttö osoittaa, että Fancy Bearin kehittäjät seuraa- vat alan kirjallisuutta (ESET, 2016, s. 31) ja tutkivat itse haavoittuvuuksia (Falcone, 2018b). Tämä kertoo kehittäjien pyrkimyksestä kehittää osaamistaan. Kehittäjät ovat myös sitoutuneita ryhmään ja seuraavat tarkkaan ryhmän ope- ratiivisia tarpeita (ESET, 2016, s. 77).

4.1.2 Voodoo Bear

Voodoo Bear keskittyy varsinaista tiedustelua enemmän hyökkäyksellisiin ope- raatioihin. Se on tukenut toimillaan Venäjän sodankäyntiä Georgiassa ja Ukrai- nassa (Hultquist, 2016). Tästä voi päätellä strategisten ja operatiivisten tavoit- teiden ohjaavan ryhmän toimintaa, myös menetelmien kehitystä. Voodoo Bear on ollut erityisen kiinnostunut kriittisestä infrastruktuurista (Hultquist, 2016). Voodoo Bear tunnetaan kenties parhaiten sen aiheuttamista sähkökatkok- sista Ukrainassa vuosina 2015 ja 2016. Iskujen valmistelussa ja vuoden 2015 is- kussa käytettiin BlackEnergy-haittaohjelmaperhettä, joka oli alun perin myytä- vänä venäläisessä kyberalamaailmassa (F-Secure, 2019, s. 2). Voodoo Bear kui- tenkin kehitti haittaohjelmaa eteenpäin, ja ainakin BlackEnergy 3 on uniikki, vain Voodoo Bearin käytössä oleva variantti (Hultquist, 2016). Ensimmäiset merkit BlackEnergy:stä Ukrainassa ovat vuodelta 2014, jolloin hyökkäysvekto- rina käytettiin automaatiojärjestelmiin liittyviä ihmisen ja koneen välisiä raja- pintoja (engl. human-machine interface, HMI) (Wilhoit & Gogolinski, 2014). Vuonna 2016 sähkökatkot aiheutettiin Voodoo Bearin omalla Industroyer- haittaohjelmalla (Cherepanov & Lipovsky, 2018). Joistain kohdejärjestelmistä löytyi myös takaportilla varustettu SSH-palvelin, joka on nimetty Dropbear SSH:ksi (Cherepanov, 2016). Toinen Voodoo Bearin tunnetuimmista operaatioista on kesäkuussa 2017 alkanut NotPetya. Kyseessä oli kiristyshaittaohjelmalta (engl. ransomware) näyt- tävä, oikeasti tietojen tuhoamiseen tarkoitettu haittaohjelma (engl. wiper). Not- Petyan levitys tapahtui alun perin erään ukrainalaisen ohjelmiston kautta toimi- tusketjuhyökkäyksenä (Cherepanov, 2017a). Tartunnan saanut ylläpitäjän oi- keuksilla varustettu tietokone levitti sitten haittaohjelmaa muihin saman ver- kon koneisiin Windowsin omia työkaluja käyttäen. NotPetya karkasi myös Uk- rainan ulkopuolelle VPN-yhteyksien kautta (Cherepanov, 2017b). NotPetyan kehityksessä lainattiin koodia Petya-kiristyshaittaohjelmasta (Cherepanov, 2017b) sekä hyödynnettiin valmista Mimikatz-työkalua ja tunnettuja haavoittu- vuuksien hyväksikäyttökoodeja. (GReAT, 2017)

6 Kali Linux on Linux-versio, joka on suunniteltu digitaaliseen forensiikkaan ja penetraa- tiotestaukseen. Siinä on valmiina useita satoja työkaluja. (Offensive Security, 2021)

35

Muita Voodoo Bearin omia haittaohjelmia ovat ainakin salasanojen ke- räämisen tarkoitettu CredRaptor ja Industroyerin pohjalta kehitetty Exaramel- takaportti (Cherepanov & Lipovsky, 2018). Myös Pjongjangin olympialaisiin liittyviä tahoja vastaan käytetty OlympicDestroyer on Voodoo Bearin omaa tuo- tantoa (GReAT, 2018). Fancy Bearin tavoin Voodoo Bear suosii kohdennettuja kalastelusähköpos- teja ensimmäisen jalansijan saamiseen (F-Secure, 2019, s. 2, NJCCIC, 2017). Yh- teistä on myös mieltymys Microsoft Officen ja sen haavoittuvuuksien hyödyn- tämiseen (Sanchez, 2014). Voodoo Bear käyttää kehitystyössään eri ohjelmointikieliä. Näitä ovat ai- nakin Go (Cherepanov & Lipovsky, 2018) sekä Rust ja VBS (Cherepanov, 2017b). Lisäksi haittaohjelmien komentoliikenteessä hyödynnetään eri protokollia, ku- ten HTTP (Stewart, 2010) sekä HTTPS ja XML (Cherepanov & Lipovsky, 2018). Myös Voodoo Bear pyrkii peittämään jälkiään. Ostettujen haittaohjelmien käyttöä voidaan pitää keinona säilyttää attribuution kiistettävyys (F-Secure, 2019). OlympicDestroyer-kampanjassaan taas Voodoo Bear yritti lavastaa syyl- liseksi pohjoiskorealaisten Labyrinth Chollima7 ja Stardust Chollima8 -toimijat matkimalla näille ominaisia koodin piirteitä (CrowdStrike, 2019, s. 38; GReAT, 2018). Toimija myös katosi kartalta kuukausien ajaksi paljastuttuaan vuonna 2014 (IntSights, 2019, s. 5). Voodoo Bear ei ole toimijana yhtä teknisesti edistynyt kuin Fancy Bear. Se on kuitenkin toteuttanut laajoja, hyvin suunniteltuja operaatiokokonaisuuksia (Cherepanov, 2017a; Cherepanov, 2017b; GReAT, 2018), mikä kertoo toimijan kyvykkyydestä. Voodoo Bear:n menetelmien ja taktiikoiden kehitystyö on jat- kuvaa (Cherepanov & Lipovsky, 2018).

4.2 Kiinalaiset toimijat

Kiinalaisista toimijoista löytyi huomattavasti vähemmän aineistoa kuin venäläi- sistä. Avoimia kysymyksiä jäi jonkin verran, mutta vertailu venäläisten toimi- joiden perusteella muodostettuun alustavaan viitekehykseen auttoi kokonais- kuvan ymmärtämisessä. Konseptien variaatiosta saattoi kuitenkin jäädä puut- tumaan jotain.

4.2.1 Laivaston Pandat

Vanhan organisaation mukaan PLA:n laivastoon oli liitetty Anchor Panda, Dy- namite Panda, Maverick Panda ja Samurai Panda. Tarkempia toimijoiden väli- siä suhteita ei voinut päätellä aineiston perusteella. Anchor Panda on toiminut ainakin vuodesta 2012 lähtien. Sen kohteita ovat Etelä-Kiinan meren alueella toimivat merenkulkuyritykset (Red Sky

7 Labyrinth Chollima tunnetaan yleisesti nimellä Lazarus Group (ThaiCERT, 2020, s. 171). 8 Stardust Chollima on Labyrinth Chollima:n alainen toimija (ThaiCERT, 2020, s. 179).

36

Alliance, n.d.), merenkulkuun liittyviä satelliittijärjestelmiä kehittävät ja ava- ruusteknologiayritykset sekä puolustussektorin alihankkijat (Meyers, 2013a). Kohteiden valintaa ohjaavat selvästi sekä laivaston että Kiinan strategiset ta- voitteet, kuten viisivuotissuunnitelmat (Scott & Spaniel, 2016, s. 19). Anchor Pandan arsenaaliin kuuluu kohdennettua kalastelua ja valmiita etähallin- tatroijalaisia (engl. remote access trojan, RAT), kuten gh0st RAT ja Torn RAT, (Red Sky Alliance, n.d.) sekä ainakin yksi omaa tuotantoa oleva takaportti (Scott & Spaniel, 2016, s. 19). Dynamite Panda puolestaan aloitti tunnetun toimintansa 2009. Sen koh- teita ovat olleet teknologia (mukaan lukien lääketieteellinen ja farmaseuttinen), ihmisoikeusryhmät ja hallitukset (Carvey, 2014). Dynamite Pandalla on Anchor Pandaa enemmän omaa kehitystyötä. Se on ainakin kehittänyt oman, Window- sin Task Scheduler -ohjelmistoa hyödyntävän, lateraalisen liikkeen menetelmän (Carvey, 2014) sekä oman pisloader-nimellä tunnetun version muillakin kiina- laisilla kybertoimijoilla käytössä olevasta HTTPBrowser-haittaohjelmaperheestä (Grunzweig, Scott & Lee, 2016). Kehitystyössä näkyvät myös strategista alem- man tason tavoitteet; koodissa on käytetty useita obfuskointitekniikoita takai- sinmallintamisen vaikeuttamiseksi (Grunzweig ym., 2016). Myös nollapäivähaavoittuvuuksien hyödyntäminen kuuluu Dynamite Pandan työkalupakkiin. Vuonna 2015 toimija osoitti kykynsä myös opportunis- tiseen kehitystyöhön, kun se käytti vain muutamaa päivää aiemmin vuodettua nollapäivähaavoittuvuutta (FireEye, 2015). Tämä, yhdessä ostetun verkkoinfra- struktuurin käyttöön (FireEye, 2015), kertoo runsaista henkilöstö- ja rahallisista resursseista. Maverick Panda on toiminut ainakin vuodesta 2007, mahdollisesti jo 2006. Sillä on alusta asti ollut käytössä oma haittaohjelmaperhe, Sykipot, joka on etä- hallinnan mahdollistava takaportti (Villeneuve, 2011). Myös nollapäivähaavoit- tuvuuksien hyödyntäminen on kuulunut Maverick Pandan toimintatapoihin alusta saakka. Haavoittuvuudet ovat liittyneet yleisesti käytössä oleviin ohjel- mistoihin, kuten Adobe Acrobat Reader ja Internet Explorer (Villeneuve, 2011), Adobe Flash Player ja Microsoft Office -ohjelmistot (Blasco, 2011) sekä Java (Blasco, 2013). Maverick Pandan pääasiallisia kohteita ovat puolustussektori ja hallituk- sen virastot, lähinnä Yhdysvalloissa (Villeneuve, 2011). Näiden lisäksi kohteina ovat olleet tietoliikenne-, tietoteknisiä laitteita valmistava ja avaruusteollisuus sekä Yhdysvaltain siviili-ilmailusektori (Dutcher, 2013). Tuttuun tapaan Maverick Pandakin hankkii ensimmäisen jalansijan useimmiten kohdennetuilla kalasteluviesteillä (Villeneuve, 2011). Perinteisten haittaohjelman sisältävien liitetiedostojen (Villeneuve, 2011) lisäksi Maverick Panda on hyödyntänyt linkkejä, jotka avaamalla kohteen tietokoneelle latautuu haittaohjelma ilman käyttäjän tietoista tiedoston lataamista (engl. drive-by down- load) (Blasco, 2012a). Myös Maverick Pandan taustalla on runsaasti resursseja (Dutcher, 2013). Sykipot-haittaohjelma ei ole erityisen hienostunut, mutta sitä kehitetään jatku- vasti ja uusia nollapäivähaavoittuvuuksia hyödyntäen. Kehitystyötä ohjaa

37 myös kohdejärjestelmien kehittyminen; tästä kertoo muun muassa Yhdysval- tain puolustusministeriön kaksivaiheisessa tunnistuksessa käyttämien älykort- tien kaappaaminen (Blasco, 2012b). Samurai Panda on toiminut ainakin vuodesta 2009 lähtien. Sen kohteita ovat Itä- ja Kaakkois-Aasian demokraattiset valtiot, kuten Japani ja Etelä-Korea. Samurai Panda käyttää kohdennetun tietojenkalastelun jälkeen lähinnä muilta kiinalaisilta kybertoimijoilta lainattuja haittaohjelmia. Näitä ovat edellä mainittu Maverick Pandan Sykipot, Karma Pandan Bisonal ja mahdollisesti DragonOK-toimijan kehittämät FormerFirstRat ja IsSpace. (Meyers, 2013b.) PLA:n laivastoon liitettyjen kybertiedustelutoimijoiden kohteet poikkeavat toisistaan merkittävästi. Anchor Pandaa lukuun ottamatta kohteet liittyvät muihin kuin laivaston kannalta keskeisiin tavoitteisiin. Toimijat poikkeavat toisistaan myös teknisen osaamisen osalta; siinä missä Maverick Pandan toiminta perustuu lähes täysin omaa kehitystyötä oleviin haittaohjelmiin, Samurai Panda ei tiettävästi ole kehittänyt mitään omaa.

4.2.2 Muut Pandat

Muihin PLA:n osiin on liitetty Comment Panda, Karma Panda, Lotus Panda, Putter Panda sekä Operation Titan Rain. Viimeisestä ei löytynyt aineistoa. Ni- mensä mukaisesti Operation Titan Rain viittaa yhteen kybervakoiluoperaatioon vuonna 2003 (ThaiCERT, 2020, s. 244). Se on kuitenkin attribuoitu samalle yksi- kölle kuin Comment Panda, joten Comment Panda on sen seuraajana todennä- köisesti perinyt menetelmiä. Comment Panda aloitti toimintansa vuonna 2006, mahdollisesti jo 2002 (Scott & Spaniel, 2016, s. 8). PLA:n yksiköllä, johon se on liitetty, on satoja, ellei tuhansia, työntekijöitä, ja sillä onkin kyky toimia samanaikaisesti kymmenissä kohdeorganisaatioissa (Mandiant, 2013, ss. 19–20). Comment Panda vakoilee laajasti vieraita hallintoja ja useita eri teollisuuden aloja (Mandiant, 2013, ss. 21– 22; Trend Micro, 2014). Kohteiden valinta ei vaikuta erityisen kohdennetulta, mutta mukana on myös Kiinan viisivuotissuunnitelmissa tunnistettuja, strategi- sesti kiinnostavia toimialoja (Mandiant, 2013, ss. 21–22). Kohdennettu kalastelu on myös Comment Pandan keino päästä kohdejär- jestelmiin. Kalastelusähköpostissa on joko haitallinen liitetiedosto tai haitallisen tiedoston latauslinkki. (Mandiant, 2013, s. 28.) Comment Panda on kehittänyt itse kokonaisen arsenaalin erilaisia haitta- ohjelmia (Mandiant, 2013, liite C, s. 2). Ennakkotiedusteluun on verkkosivuihin yhdistetyistä tietokannoista dataa keräävä LIGHTDART (Mandiant, 2013, liite C, s. 5–6). Erilaisia takaporttiperheitä on peräti 26 (Mandiant, 2013, liite C, s. 4), joten käytössä on runsaasti erilaisia toiminnallisuusyhdistelmiä ja komentoliikennetoteutuksia. Varsinaiseen tietojen keräykseen tarkoitettuja työkaluja ovat tiedostoja Google Docsiin lataava GDOCUPLOAD, sähköpostien keräämiseen tarkoitetut GETMAIL ja MAPIGET sekä LIGHTDARTin kyvykkäämpi versio LIGHTBOLT (Mandiant, 2013, liite C).

38

Omien haittaohjelmien lisäksi Comment Panda käyttää myös valmiita työkaluja. Näitä ovat esimerkiksi julkisesti saatavilla olevat takaportit, käyttö- oikeuksien nostoon käytettävä Mimikatz sekä lateraalisessa liikkeessä hyödyn- nettävät valmiit järjestelmätyökalut (Mandiant, 2013, ss. 30–36). Comment Pandalla on käytössään laaja, maailmanlaajuinen verkkoinfra- struktuuri. Omia komentopalvelimia varten on rekisteröity tuhansia verkko- tunnuksia (engl. domain) (Mandiant, 2013, s. 45). Verkkoliikenne reititetään usein siihen tarkoitukseen murrettujen järjestelmien kautta, jotta varsinaisten komentopalvelimien löytäminen olisi vaikeampaa (Mandiant, 2013, s. 39). Karma Pandan ensimmäinen tunnettu kampanja oli Etelä-Koreaan koh- distunut HeartBeat vuonna 2009 (Paz, 2012, s. 1). Siinä käytettiin ensimmäisen kerran toimijan omaa Bisonal-etähallintatroijalaista, jota on käytetty ja kehitetty aktiivisesti yli kymmenen vuoden ajan (Mercer, Rascagneres & Ventura, 2020). Bisonalin kehitystyöhön ovat vaikuttaneet useat seikat. Jo HeartBeat- kampanjan aikana komentoliikenteen toteutusta ja reititystä muuteltiin ja siihen lisättiin salaus (Paz, 2012, s. 8). Myöhemmin haittaohjelman analysointia vai- keuttavien tekniikoiden käyttö on lisääntynyt (Mercer ym., 2020), eli Karma Panda pyrkii peittelemään jälkiään. Lisäksi kohdejärjestelmissä käytössä olevan Microsoft Officen kehitys on vaikuttanut kehitystyöhön, koska haittaohjelman levityksessä on käytetty Wordin ja sen kaavaeditorin haavoittuvuuksia (Mercer ym., 2020). Omien haittaohjelmiensa lisäksi Karma Panda käyttää myös esimerkiksi muidenkin toimijoiden yhteydessä mainittua Mimikatz-työkalua, josta se on muokannut omia versioita (GReAT, 2019). Lisäksi se sai vuonna 2019 käyttöön- sä APT 41 -ryhmän kehittämän ShadowPad-lataustyökalun (Zykov, 2020). Myös Karma Panda suosii kohdennettua kalastelua. Toimijan syöttiviestit ovat hyvin kohdennettuja, ja esimerkiksi HeartBeatin aikana syöttinä käytettiin Etelä-Korean hallinnossa käytetyn tekstieditorin tiedostomuotoa (Paz, 2012, s. 3). Haitalliset tiedostot eivät hyödynnä nollapäivähaavoittuvuuksia, mutta lä- hiaikoina löydettyjä ja paikattuja haavoittuvuuksia kylläkin (Zykov, 2020). Perinteisesti Karma Pandan kohteet ovat löytyneet Etelä-Koreasta, Japa- nista, Taiwanista ja Yhdysvalloista, erityisesti hallinnosta (GReAT, 2019). Vuo- den 2019 lopulla painopistealue on siirtynyt Mongoliaan ja Venäjälle poliittisis- ta syistä (GReAT, 2020a). Viimeisimmät havainnot on tehty Itä-Euroopassa (Faou, Tartare & Dupuy, 2021; Zykov, 2020). Dynamite Pandan tapaan myös Karma Panda kykenee myös nopeaan, opportunistiseen kehitystyöhön. Siitä esimerkkinä on kahden itäeurooppalaisen yrityksen Microsoft Exchange -palvelimen murtaminen maaliskuussa 2021 (Faou ym., 2021). Karma Panda hyödynsi hyökkäyksessä omaa Bisonal- ja lai- nattua ShadowPad-haittaohjelmaa (Faou ym., 2021). Lotus Pandan kohteet keskittyvät Kiinalle strategisesti tärkeälle Etelä- Kiinan meren alueelle (ThreatConnect, 2015, s. 7). Toiminta on jatkunut ainakin vuodesta 2010 lähtien (ThreatConnect, 2015, s. 8). Myös Lotus Panda käyttää kohdennettuja kalastelusähköposteja, joissa on haitallinen liitetiedosto (Check Point Research, 2020).

39

Lotus Pandan omaa kehitystyötä ovat takaporttiperheet Rarstone (Camba, 2013), Naikon ja Aria-body. Aria-body perustuu osin Lotus Pandan vanhem- paan koodiin, jota on jatkokehitetty vuodesta 2012 lähtien (GReAT, 2020b). Se on poikkeuksellisen vaikea havaita, sillä se toimii suoraan tietokoneen muistis- sa, koskemattakaan kovalevyihin (GReAT, 2020b) Putter Panda on toiminut ainakin vuodesta 2007 lähtien ja sen kohteita ovat Yhdysvaltojen puolustussektori sekä Euroopan avaruus- ja satelliittiteolli- suus (CrowdStrike, 2014, s. 5). Kohteiden valinnan taustalla ovat sen taustalla olevan sotilasyksikön ja kansalliset strategiset tavoitteet (CrowdStrike, 2014, s. 58) Putter Panda ja Comment Panda tekevät todisteiden valossa yhteistyötä (CrowdStrike, 2014, s. 11). Putter Pandan toimintatapaan kuuluu omaa kehitystyötä olevien haittaoh- jelmien levittäminen kohdennettujen kalasteluviestien avulla. Syöttivisteissä hyödynnetään Adobe Acrobat Readerin ja Microsoft Officen kaltaisten suosittu- jen ohjelmistojen haavoittuvuuksia (CrowdStrike, 2014, s. 5). Kuten edellä mainittiin, Putter Panda kehittää omat haittaohjelmansa. Niihin kuuluu etähallintatroijalaiset 4H RAT ja 3PARA RAT, yksinkertaiset PNGDOWNER ja HTTPCLIENT sekä kaksi erilaista haittaohjelmien asennus- työkalua (CrowdStrike, 2014). Työkalujen osittaisesta yksinkertaisuudesta huo- limatta tämä arsenaali mahdollistaa kohdejärjestelmän laajan hallinnan (CrowdStrike, 2014, s. 48). Putter Pandalla on merkittävä komentoverkkoinfrastruktuuri. Siihen kuu- luu niin murrettuja, oikeita verkkosivustoja kuin myös operaattorien rekiste- röimiä verkkotunnuksia (CrowdStrike, 2014, s. 8). Joidenkin verkkotunnusten rekisteröintitietoja on muutettu jälkikäteen, todennäköisesti jälkien peittämisek- si (CrowdStrike, 2014, s. 9). Kaikkia tarkasteltuja toimijoita yhdistää mieltymys kohdennettujen kalas- telusähköpostien käyttöön. Ei ole tarpeen käyttää resursseja teknisesti korkeata- soisten haittaohjelmien kehitykseen, kun tavoitteeseen päästään käyttäjän ma- nipuloinnilla. Usean ryhmän haittaohjelmat ovatkin teknisesti vain keskitasoa. Eräs merkittävä ero tarkasteltujen venäläisten ja kiinalaisten kybertoimi- joiden välillä on haittaohjelmien jakaminen. Venäläiset eivät tätä tee, mikä saat- taa johtua toimijoiden erilaisista toimintatavoista. Kiinalaiset puolestaan käyt- tävät yhteisiä työkaluja. Edellä mainittujen Sykipotin ja Bisonalin lisäksi esi- merkiksi Anchor Pandan (Meyers, 2013a) ja Dynamite Pandan (FireEye, 2015) käyttämän gh0st RAT -haittaohjelman9 lähdekoodi on julkinen ja siten uhka- toimijoiden muokattavissa (FireEye, 2015).

9 Haittaohjelmaa käyttää myös moni muu kiinalainen ja pohjoiskorealainen kybertoimija (ThaiCERT, 2020).

40

4.3 Yhteenveto tutkimusaineistosta

Aineistossa toistui usein samoja tai toisiinsa vertautuvia asioita. Näitä olivat erilaiset haittaohjelmat ja niihin liittyvät tekniset toteutukset, kohdennettu ka- lastelu ja muut, vähemmän käytetyt tavat saada ensimmäinen jalansija, kehittä- jät ja operaattorit henkilöstöryhminä, resurssit, erilaiset tavoitteet sekä kohde- järjestelmät käyttäjineen. Näistä kehitettiin konsepteja. Kehitystyö alkoi kehittyä kategoriana jo varhaisessa vaiheessa. Tällöin ak- siaalista koodausta päästiin tekemään iteroivasti vuorotellen avoimen koo- dauksen kanssa. Kategorian kehittymistä seurattiin yhdessä, usein päivittyväs- sä muistiossa. Tutkimuksen aikana tunnistetut konseptit on koottu taulukkoon 1. Taulukossa on lueteltu myös konseptien keskeiset ominaisuudet ja niiden ulottuvuudet.

TAULUKKO 1 Aineiston pohjalta muodostetut konseptit

Konsepti Ominaisuus Ulottuvuudet Kehitystyö Lähtökohta Oma – muokkaus – valmiit työkalut Suunnitelmallisuus Järjestelmällinen – opportunistinen Tavoitteet Taso Strateginen – taktinen – operatiivinen Resurssit Tyyppi Henkilöstö, raha Määrä Niukat – runsaat Henkilöstö Tyyppi Kehittäjät, operaattorit Osaaminen Matala – korkea; ei kehity – kehittää itseään aktiivisesti Sitoutuminen Matala – korkea Kohteet Ihmiset Kieli, kulttuuri, kiinnostuksen kohteet Järjestelmät Käyttöjärjestelmät, ohjelmistot, verkko- arkkitehtuurit Menetelmät Hienostuneisuus Matala – korkea Operaatiot Tyyppi Tiedustelu, aktiiviset toimet

Paradigmamallin mukaan jaoteltuna tavoitteet, resurssit ja kohteet ovat olosuh- teita, jotka vaikuttavat kehitystyöhön eli toimintaan. Toiminnan seurauksia puolestaan ovat menetelmät ja niitä hyödyntävät operaatiot. Ehto-seurausmatriisin mukaan kansalliset strategiset tavoitteet ovat kan- sallisella kehällä. Ne vaikuttavat sotilastiedusteluorganisaatioiden (organisaati- on osa) strategisiin ja sitä alemman tason tavoitteisiin. Välissä ovat asevoimien (organisaatio) tavoitteet, mutta tämä havainto ei tule esiin aineistosta. Näiden tavoitteiden pohjalta kehittäjät (ryhmä) tekevät kehitystyötä (ilmiöön liittyvä toiminta) vuorovaikutuksessa tietojärjestelmien ja mahdollisesti toistensa kans- sa. Operaattorit (ryhmä) käyttävät kehitystyön tuloksia operaatioissa joko oman valtion sisällä (kansallinen) tai sen ulkopuolella (kansainvälinen).

41

5 TULOKSET

Tutkielman tavoitteena oli vastata seuraavaan tutkimuskysymykseen sekä sen apukysymyksiin:

Miten Venäjän ja Kiinan sotilastiedusteluorganisaatioiden kyber- menetelmät ovat kehittyneet? o Miten kybertiedustelu määritellään? o Millaisia menetelmiä havaituissa kybertiedusteluoperaatiois- sa on esiintynyt? o Miten menetelmät asettuvat aikajanalle?

Apukysymyksistä kybertiedustelun määrittelyyn vastattiin luvussa 2.1. Kyber- tiedustelulla tarkoitetaan siis tiedustelua, jossa hyödynnetään tietoverkkoja se- kä niihin liitettyjä laitteita ja ohjelmistoja. Tiedustelulla puolestaan tarkoitetaan tiedon hankintaa päätöksenteon tueksi. Tiedusteluorganisaatioilla voi olla li- säksi muitakin kuin tiedon hankintaan liittyviä tehtäviä. Näitä ovat esimerkiksi Venäjän GRU:n suorittamat aktiiviset toimet, kuten sabotaasi ja poliittinen vai- kuttaminen, myös kybertoimintaympäristössä. Venäjän ja Kiinan sotilastiedusteluorganisaatioiden käyttämiä, ja muiden havaitsemia, menetelmiä on esitelty aineiston pohjalta luvussa 4. Menetelmiin kuuluu sekä teknisiä menetelmiä, kuten erilaisia haittaohjelmia, että esimerkiksi käyttäjän manipulointia. Menetelmien kehityksen asettumista aikajanalle on havainnollistettu liitteessä 2. Päätutkimuskysymykseen vastataan seuraavassa alaluvussa.

42

5.1 Kybertiedustelumenetelmien kehitys

Venäjän ja Kiinan sotilastiedusteluorganisaatioiden kybertiedustelumenetel- mien kehitys on tietoisen kehitystyön tulosta. Kehitystyöstä muodostuikin tut- kimuksen ydinkategoria. Aineiston perusteella siihen vaikuttavat tavoitteet, kohteet ja resurssit. Kehitystyön tuloksena syntyy menetelmiä, joita hyödynne- tään operaatioissa. Tutkimuksessa tunnistettujen konseptien muodostama teo- reettinen viitekehys on esitetty kuviossa 5.

KUVIO 5 Konseptien muodostama teoreettinen viitekehys

Tiedusteluorganisaation sekä sitä ylempien tahojen tavoitteet vaikuttavat sekä tiedustelutoiminnan kohteiden valintaan että suoraan kehitystyöhön. Kohtei- den valinnan taustalla ovat usein valtion strategiset tavoitteet. Suoraan kehitys- työhön vaikuttava, kohteista riippumaton tavoite on esimerkiksi oman toimin- nan salaaminen. Tähän viitataan usein termillä operaatioturvallisuus (engl. op- erations security, OPSEC). Kohteet vaikuttavat kehitystyöhön usealla eri tavalla. Ensimmäiseen pää- syyn usein käytettävä kohdennettu kalastelu toimii parhaiten, kun syöttiviesti on räätälöity kohteen mukaan. Tähän liittyy käytetty kielen, kulttuuristen seik- kojen sekä ammatillisten ja työhön muuten liittyvien mielenkiinnon kohteiden tuntemus. Toisaalta myös kohdejärjestelmän tekniset piirteet, kuten käytössä olevat käyttöjärjestelmät ja ohjelmistot sekä verkkoarkkitehtuuri vaikuttavat haittaohjelmien kehitykseen. Resurssit voidaan jakaa henkilöstö- ja rahallisiin resursseihin. Henkilöstön määrä, osaaminen ja sen kehittyminen sekä sitoutuminen edesauttavat kehitys- työtä ja sen tuottamien menetelmien vaikuttavuutta. Rahallisilla resursseilla puolestaan voidaan hankkia omaa verkkoinfrastruktuuria sekä ostaa nollapäi- vähaavoittuvuuksia ja valmiita haittaohjelmia. Rahalliset resurssit vaikuttavat

43 täten sekä kehitystyön lähtökohtiin että haittaohjelmien teknisiin yksityiskoh- tiin esimerkiksi komentoliikenteen toteutuksen osalta. Kehitystyön lähtökohtana voi olla alusta asti oma kehitys, osittain valmii- den menetelmien muokkaus ja räätälöinti tai valmiit työkalut. Näitä voidaan myös yhdistellä tarpeen mukaan. Kehitystyö voi olla luonteeltaan järjestelmäl- listä ja pitkäjänteistä tai opportunistista ja nopeatempoista. Pelkkä opportunis- mi ei riitä useita vuosia toimivalle valtiolliselle toimijalle. Kehitystyön tuloksena saadaan aikaiseksi menetelmiä. Nämä tekniset ja käyttäjän manipulointiin liittyvät tekniikat vaikuttavat niitä hyödyntäviin ope- raatioihin. Liitteen 2 aikajanat havainnollistavat työkalujen kehitystahtia sekä eri toimijoiden välisiä eroja. Siinä missä Fancy Bear ja Comment Panda ovat kehit- täneet laajan arsenaalin eri haittaohjelmia, esimerkiksi Karma Panda on keskit- tynyt jatkokehittämään Bisonal-etähallintatroijalaisperhettään useiden vuosien ajan.

5.2 Tulosten luotettavuuden arviointi

Tutkimuksen tuloksia tulee arvioida useasta näkökulmasta. Näitä ovat eettiset näkökulmat, laadulliselle tutkimukselle yleisesti annetut laatuvaatimukset sekä menetelmäkohtaiset arviointiperusteet. Arvioinnin perusteita on käsitelty tar- kemmin luvussa 3.3. Tutkimuksessa ei tunnistettu eettisiä ongelmia. Kaikki tutkimusmateriaali on jo julkisesti saatavilla, joten sen käsittely tutkielmassa ei vaikuta esimerkiksi toimijoiden seurantaan tai mahdollisiin käynnissä oleviin rikostutkintoihin. Ai- neistossa oli nimetty joitakin yksittäisiä henkilöitä, jotka on yhdistetty tutki- musvaltioiden kybervakoilutoimintaan, mutta heidän tietojensa käsittely ei kuulu tutkielman piiriin. Laadullisen tutkimuksen luotettavuus pitää sisällään validiteetin ja relia- biliteetin vaatimukset. Tässä tutkielmassa validiteettiin pyrittiin menetelmään kuuluvan jatkuvan vertailun käytöllä. Tutkimusvaiheessa vertailtiin jatkuvasti toisiinsa niin samaa kybertoimijaa käsitteleviä aineistoja, eri kybertoimijoita kuin valtioita. Reliabiliteettiin pyrittiin kuvaamalla tutkittavaa ilmiötä mahdol- lisimman perinpohjaisesti. Grounded theory -menetelmän omien kriteerien osalta löydösten sopi- vuus vaikuttaa ainakin tutkijan itsensä mielestä onnistuneelta. Lopullinen arvio jää lukijalle. Tulosten merkitystä ja sovellettavuutta arvioidaan luvussa 5.3. Ai- neistosta esiin nousseet konseptit on sidottu kontekstiin ja niiden keskeiset ominaisuudet ulottuvuuksineen on tunnistettu. Löydökset ovat helposti ym- märrettävissä, ja metodologisia valintoja on perusteltu. Tutkielmassa on nostet- tu esiin tutkimuskysymysten kannalta merkitykselliset löydökset. Konseptien variaatio on tuotu esille aineiston käsittelyssä. Tutkimuksen tuloksia ei ehkä voi kuvailla innovatiivisiksi, mutta uudeksi tieteelliseksi tiedoksi kylläkin. Tut- kimusta ohjasi aineisto ja sen analyysi; ennakko-oletuksia tunnistettiin, mutta

44 niiden ei annettu vallata alaa. Aineiston käsittelyssä on kuvattu myös muistioi- den käyttöä. Tulosten luotettavuuteen liittyy lisäksi aineiston luotettavuus ja kattavuus sekä tunnistettujen kybertoimijoiden attribuution oikeellisuus. Aineistoa voi- daan pitää lähtökohtaisesti luotettavana. Yrityksille ei ole liiketoiminnan kan- nalta järkevää julkaista virheellistä tietoa. Suurimpaan osaan kybertoimijoista löytyi myös useamman eri yrityksen tuottamaa aineistoa. Pelkän julkisen ai- neiston käyttäminen rajaa aineiston kattavuutta. Tietoturvayritykset eivät jul- kaise kaikkea tietoaan, koska se vaikeuttaisi heidän omaa työtään paljastamalla uhkatoimijoille puolustajien käytössä olevat työkalut. Maschmeyer, Deibert ja Lindsay (2021) ovat esittäneet huolensa tällaisen aineiston runsaasta käytöstä akateemisessa tutkimuksessa. Heidän mukaansa korkean profiilin kohteisiin painottuva raportointi jättää huomioimatta kansa- laisyhteiskuntaan kohdistuvat uhat, millä voi olla jopa demokratiaan kohdistu- via, huolestuttavia seurauksia (Maschmeyer ym., 2021). Muuta julkista aineistoa ei kuitenkaan ole saatavilla riittävästi tutkimuksen tekoa varten. Suurin riski tulosten oikeellisuudelle on attribuution virheellisyys. Jos tut- kitut kybertoimijat eivät liitykään Venäjän ja Kiinan sotilastiedusteluorganisaa- tioihin, tutkimuskysymykseen ei ole vastattu laisinkaan. Muutaman toimijan osalta attribuution perusteet on julkaistu, ja niitä voidaan pitää luotettavina. Usean toimijan osalta perusteet jäivät kuitenkin piiloon, joten niitä ei voitu ar- vioida.

5.3 Tulosten merkitys

Tutkielmassa tuotettua viitekehystä voidaan hyödyntää oman kybervasta- tiedustelun toiminnassa. Kehys osoittaa, että kohteiden järjestelmien kehitys on yksi Venäjän ja Kiinan sotilastiedustelun kybermenetelmien kehitykseen vai- kuttava tekijä. Tutkimusilmiöstä tuotettua ymmärrystä voidaan hyödyntää muutenkin toiminnan kehittämisen perusteena, esimerkiksi organisaatioiden suojautumisessa kyberhyökkäyksiltä. Tuloksia voidaan lisäksi käyttää jatkotut- kimuksen pohjana. Tulosten sovellettavuudessa ei ole pyritty tilastolliseen vaan analyyttiseen yleistettävyyteen. Uusitalon (1991, s. 78) mukaan analyyttisessa (eli teoreettises- sa) yleistettävyydessä on kyse siitä, että tutkimuksessa onnistutaan tekemään analyyttisiä yleistyksiä, jotka pätevät myös muissa kuin tutkituissa tapauksissa. Tutkielmassa tuotettu teoreettinen viitekehys on niin korkealla abstraktion ta- solla, että sen soveltuvuutta muihinkin tapauksiin kannattaa ainakin tutkia. Viitekehyksessä ei ole sellaisia osia, joiden yleistettävyyden voisi kiistää ilman tarkempaa tarkastelua. Olisikin mielenkiintoista tietää, miten hyvin viitekehys soveltuu erilaisiin toimijoihin. Voiko sitä soveltaa myös siviilitiedusteluun tai kokonaan muun tyyppisiin kyberoperaatioihin? Entä erilaisten valtioiden, kuten länsimaisten demokratioiden kybertoimintaan? Miten paljon ei-valtiollisten kybertoimijoi-

45 den kehitystyö poikkeaa tutkituista toimijoista? Soveltuvuutta tulisi arvioida sekä viitekehyksen konseptien että niiden ominaisuuksien ja ulottuvuuksien osalta. Erityisesti nominaaliasteikollisten ominaisuuksien ulottuvuuksiin tutki- musaineistosta löytyneet arvot eivät välttämättä riitä kuvaamaan erilaisia toimi- joita.

46

6 YHTEENVETO

Tutkielman tavoitteena oli kuvata Venäjän ja Kiinan sotilastiedusteluorganisaa- tioiden käyttämien kybermenetelmien kehitystä. Lisäksi avattiin kybertieduste- lun käsitettä ja kontekstia. Venäjä ja Kiina ovat suomalaisesta näkökulmasta kiinnostavia tutkimuskohteita, sillä ne ovat Suomeen eniten tiedustelua kohdis- tavia valtioita. Tutkimusilmiötä päädyttiin kuvaamaan tutkielmassa muodoste- tun teoreettisen viitekehyksen sekä aikajanojen avulla. Keskeisin löydös oli me- netelmien kehittymisen sitominen kehitystyön käsitteeseen. Tutkimusmenetelmänä käytettiin grounded theorya. Aineistopohjainen menetelmä soveltui hyvin tutkimusongelman tarkasteluun aiemman tutkimuk- sen vähyyden vuoksi. GT:n straussilainen koulukunta, joka sallii tutkimusky- symysten asettamisen tutkimuksen alkuvaiheessa, soveltui hyvin myös pro gradu -prosessissa käytettäväksi. Corbinin ja Straussin selkeästi kuvaama tut- kimusprosessi auttoi kokematonta tutkijaa etenemään tutkimuksessa. Tutki- muksen laatua arvioitiin sekä laadullisen tutkimuksen yleisten että menetelmä- kohtaisten kriteerien perusteella. Tarkastelun perusteella tuloksia voidaan pitää luotettavina. Tutkimusaineiston muodostivat pääasiassa tietoturvaa tutkivien organi- saatioiden julkaisut. Aineistoa oli saatavilla riittävästi tutkimuskysymyksiin vastaamiseksi. Julkisen aineiston ongelma tosin oli se, että kaikkea kyberope- raatioihin liittyvää tietoa ei julkaista, joten sen kattavuudessa saattoi olla huo- mattaviakin aukkoja. Kaikkien julkaisujen taustalla on kuitenkin tietoinen pää- tös siitä, mitä, miten, missä ja milloin tiedot julkaistaan. Päätöksen taustalla voi olla monenlaisia motiiveja, joita on vaikea arvioida ulkopuolelta. Tutkimusongelman käsittelyssä tuli huomioida myös kybertoimintaympä- ristölle ominainen attribuutio-ongelma. Kyberhyökkäysten alkuperää on vaikea osoittaa kiistattomasti, etenkään 2000-luvun alun varhaisten tapausten osalta. Tutkielmassa oletetaan, että aineistoissa esitetty attribuutio on oikea. Joidenkin attribuutioiden perusteet tulivat ilmi aineistosta, mutta läheskään kaikissa ta- pauksissa attribuution uskottavuuden arvioinnille ei ollut perusteita. Kuten muidenkin kyberoperaatioita koskevien tietojen, myös attribuution julkaisemi- nen on julkaisevan tahon tietoinen päätös.

47

Vaikka tutkimuksen kohteena olevat valtiot eivät olekaan identtisiä, niissä on paljon samankaltaisuuksia. Venäjä ja Kiina ovat autoritäärisiä, itsensä jatku- vasti uhatuiksi kokevia valtioita, joiden päätöksentekoprosessit poikkeavat län- simaisista demokratioista. Lisäksi kummankin maan nykyisten tiedusteluorga- nisaatioiden juuret ovat Neuvostoliiton tiedustelupalveluissa. Nämä tekijät saattavat asettaa rajoitteita tulosten yleistettävyydelle. Tutkielma tarjoaakin mahdollisia aiheita jatkotutkimukselle. Tutkielmassa muodostetun teoreettisen viitekehyksen soveltuvuutta erilaisiin kybertoimijoi- hin voi tarkastella monesta eri näkökulmasta. Miten siviilitiedustelun kyber- menetelmäkehitys poikkeaa sotilastiedustelusta? Millainen vaikutus on sillä, jos organisaatio ei ole tiedustelupalvelu? Entä miten menetelmiä kehitetään erilai- sissa valtioissa? Onko muilla kuin valtiollisilla kybertoimijoilla havaittavissa vastaavaa menetelmien kehitysprosessia? Olisi myös mielenkiintoista tietää, miten paljon tuloksiin vaikuttaisi julkaisemattoman aineiston käyttö. Kiina ja Venäjä ovat kybertiedustelua länsimaihin merkittävimmin koh- distavia valtioita. Tästä syystä näiden valtioiden tiedustelupalveluiden toimin- nan ymmärtäminen on tärkeää. Tutkielman tuloksia voidaan soveltaa myös muihin kybertiedustelutoimijoihin tietyin varauksin. Kybertiedustelun suhteellinen merkitys tiedustelun kentässä kasvaa yh- teiskuntien verkottuessa. Samalla perinteisten tiedustelulajien osuus tiedon- hankinnasta pienenee niin sotilas- kuin siviilitiedustelussa. Kybertiedustelun tutkimus on kuitenkin vielä lapsenkengissään. Tämä tutkielma pyrkikin osal- taan luomaan alan tietopohjaa. COVID-19-pandemia on kiihdyttänyt yhteiskuntien ja yritysten digitalisoi- tumista. Tieto- ja kyberturvallisuus eivät ole aina olleet ensimmäinen prioriteet- ti, kun järjestelmiä on liitetty julkisten tietoverkkojen yli hallittaviksi nopealla aikataululla. Tämän niin kutsutun digiloikan pitkän aikavälin vaikutukset ky- bertiedusteluun ja sen menetelmäkehitykseen jäävät myöhemmin arvioitaviksi.

48

LÄHTEET

Aaltio, I. & Puusa, A. (2020). Mitä laadullisen tutkimuksen arvioinnissa tulisi ottaa huomioon? Teoksessa A. Puusa;& P. Juuti (toim.), Laadullisen tutkimuksen näkökulmat ja menetelmät (169 - 180). Gaudeamus.

Baumgartner, K. & Golovkin, M. (2015). The MsnMM campaigns: The earliest Naikon APT campaigns. Haettu osoitteesta https://media.kasperskycontenthub.com/wp- content/uploads/sites/43/2018/03/07205555/TheNaikonAPT- MsnMM1.pdf

Bederna, Z.;& Szadecky, T. (2020). Cyber espionage through Botnets. Security Journal(33), 43 - 62. doi:10.1057/s41284-019-00194-6

Bitdefender. (2015). APT28 Under the scope: A journey into exfiltrating intelligence and government information. Haettu osoitteesta https://labs.bitdefender.com/2015/12/apt28-under-the-scope-a- journey-into-exfiltrating-intelligence-and-government-information/

Blasco, J. (20. joulukuu 2011). Are the Sykipot's authors obsessed with next generation US drones? Alien Labs. Haettu 22.4.2021 osoitteesta https://cybersecurity.att.com/blogs/labs-research/are-the-sykipots- authors-obsessed-with-next-generation-us-drones

Blasco, J. (2. heinäkuu 2012a). Sykipot is back. Alien Labs. Haettu 19.4.2021 osoitteesta https://cybersecurity.att.com/blogs/labs-research/sykipot-is-back

Blasco, J. (12. tammikuu 2012b). Sykipot variant hijacks DOD and Windows smart cards. Alien Labs. Haettu 19.4.2021 osoitteesta https://cybersecurity.att.com/blogs/labs-research/sykipot-variant- hijacks-dod-and-windows-smart-cards

Blasco, J. (21. maaliskuu 2013). New Sykipot developments. Alien Labs. Haettu 19.4.2021 osoitteesta https://cybersecurity.att.com/blogs/labs-research/new-sykipot- developments

Borum, R., Felker, J., Kern, S., Dennesen, K. & Feyes, T. (2015). Strategic cyber intelligence. Information and Computer Security, 23(3), 317 - 332. doi:10.1108/ICS-09-2014-0064

49

Bowen, A. S. (2020). Russian military intelligence: Background and issues for Congress. (CRS Report R46616). Congressional Research Service.

Bowen, A. S. (2021, 4. tammikuuta). Russian Cyber Units. Congressional Research Service In Focus report. Haettu osoitteesta https://news.usni.org/2021/01/05/report-on-russian-cyber-units

Brantly, A. (2013). Defining the role of intelligece in cyber: a hybrid push and pull. Teoksessa M. Phythian (toim.), Understanding the intelligence cycle (76 - 98). Routledge.

Brantly, A. F. (2016). The decision to attack: Military and intelligence cyber decision- making. University of Georgia Press.

Brown, G. (2016). Spying and fighting in cyberspace: What is which? Journal of National Security Law & Policy, 8(3), 1 - 22.

Cai, C. (2015). Cybersecurity in the Chinese context: Changing concepts, vital interests, and prospects for cooperation. China Quarterly of International Strategic Studies, 1(3), 471 - 496. doi:10.1142/S2377740015500189

Calvet, J. (2014, 11. marraskuuta). Sednit espionage group attacking air-gapped networks. WeLiveSecurity by ESET. Haettu 26.3.2021 osoitteesta https://www.welivesecurity.com/2014/11/11/sednit-espionage-group- attacking-air-gapped-networks/

Camba, A. (2013, 27. helmikuuta). BKDR_RARSTONE: New RAT to watch out for. TrendLabs Security Intelligence Blog. Haettu 25.4.021 osoitteesta https://blog.trendmicro.com/trendlabs-security- intelligence/bkdr_rarstone-new-rat-to-watch-out-for/

Carvey, H. (2014, 2. syyskuuta). Where you AT?: Indicators of lateral movement using at.exe on Windows 7 systems. Secureworks Blog. Haettu 22.4.2021 osoitteesta https://www.secureworks.com/blog/where-you-at-indicators-of- lateral-movement-using-at-exe-on-windows-7-systems

Check Point Research. (2020, 7. toukokuuta). Naikon APT: Cyber espionage reloaded. Haettu 22.4.2021 osoitteesta https://research.checkpoint.com/2020/naikon-apt-cyber-espionage- reloaded/

Cherepanov, A. (2016, 3. tammikuuta). BlackEnergy by the SSHBearDoor: attacks against Ukrainian news media and electric industry. WeLiveSecurity by ESET. Haettu 29.3.2021 osoitteesta https://www.welivesecurity.com/2016/01/03/blackenergy-

50

sshbeardoor-details-2015-attacks-ukrainian-news-media-electric- industry/

Cherepanov, A. (2017a, 4. heinäkuuta). Analysis of TeleBots’ cunning backdoor. WeLiveSecurity by ESET. Haettu 29.3.2021 osoitteesta https://www.welivesecurity.com/2017/07/04/analysis-of-telebots- cunning-backdoor/

Cherepanov, A. (2017b, 30. kesäkuuta). TeleBots are back: Supply-chain attacks against Ukraine. WeLiveSecurity by ESET. Haettu 29.3.2021 osoitteesta https://www.welivesecurity.com/2017/06/30/telebots-back-supply- chain-attacks-against-ukraine/

Cherepanov, A. & Lipovsky, R. (2018, 11. lokakuuta). New TeleBots backdoor: First evidence linking Industroyer to NotPetya. WeLiveSecurity by ESET. Haettu 29.3.2021 osoitteesta https://www.welivesecurity.com/2018/10/11/new-telebots-backdoor- linking-industroyer-notpetya/

Clarke, A. E. (1997). A social worlds research adventure: The case of reproductive science. Teoksessa A. Strauss;& J. Corbin (Toim.), Grounded theory in practice (63 - 94). Sage Publications.

Clausewitz, K. v. (1981). Sodasta: Valikoima ajatelmia (2. tarkastettu painos). (E. Hannula, suom.) WSOY.

Corbin, J. & Strauss, A. J. (2008). Basics of qualitative research: Techniques and procedures for developing grounded theory (3. painos). SAGE Publications. doi:10.4135/9781452230153

Costello, J. & McReynolds, J. (2018). China's Strategic Support Force: A force for a new era (China Strategic Perspectives No. 13). National Defense University, Center for the Study of Chinese Military Affairs, Institute for National Strategic Studies. Haettu osoitteesta https://ndupress.ndu.edu/Portals/68/Documents/stratperspective/chi na/china-perspectives_13.pdf

Creus, D., Halfpop, T. & Falcone, R. (2016, 26. syyskuuta). Sofacy's 'Komplex' OS X trojan. Palo Alto Unit 42. Haettu 29.3.2021 osoitteesta https://unit42.paloaltonetworks.com/unit42-sofacys-komplex-os-x- trojan/

Crosston, M. (2016). Bringing non-Western cultures and conditions into comparative intelligence perspectives: India,Russia, and China. International Journal of Intelligence and CounterIntelligence, 29(1), 110 - 131. doi:10.1080/08850607.2015.1083337

51

CrowdStrike. (2014). CrowdStrike intelligence report: Putter Panda. Haettu osoitteesta https://cdn0.vox-cdn.com/assets/4589853/crowdstrike-intelligence- report-putter-panda.original.pdf

CrowdStrike. (2019). 2019 global threat report: Adversary tradecraft and the importance of speed. Heettu osoitteesta https://go.crowdstrike.com/rs/281-OBQ- 266/images/Report2019GlobalThreatReport.pdf

CrowdStrike. (2020). 2020 global threat report. Haettu osoitteesta https://go.crowdstrike.com/rs/281-OBQ- 266/images/Report2020CrowdStrikeGlobalThreatReport.pdf

CrowdStrike. (2021). 2021 global threat report. Haettu osoitteesta https://go.crowdstrike.com/rs/281-OBQ- 266/images/Report2021GTR.pdf

Crowstrike. (2017). Use of Fancy Bear Android malware in tracking of Ukranian field artillery units. Haettu osoitteesta https://www.crowdstrike.com/wp- content/brochures/FancyBearTracksUkrainianArtillery.pdf

Cybersecurity & Infrastructure Security Agency (CISA). (2020). MAR-10310246- 1.v1 – ZEBROCY Backdoor. Malware Analysis Report (AR20-303B). Haettu osoitteesta https://us-cert.cisa.gov/ncas/analysis-reports/ar20-303b

Davies, P. H., Gustafson, K. & Ridgen, I. (2013). The intelligence cycle is dead, long live the intelligence cycle: rethinking intelligence fundamentals for a new intelligence doctrine. Teoksessa M. Phythian (toim.), Understanding the intelligence cycle (56 - 75). Routledge.

Dutcher, D. (2013, 4. syyskuuta). Sykipot now targeting US civil aviation sector information. TrendLabs Security Intelligence Blog. Haettu 19.4.2021 osoitteesta https://blog.trendmicro.com/trendlabs-security-intelligence/sykipot- now-targeting-us-civil-aviation-sector-information/

Eichelsheim, O. (2018, 4. lokakuuta). GRU close access cyber operation against OPCW. Defence Intelligence & Security Service (Alankomaat). Haettu osoitteesta https://english.defensie.nl/downloads/publications/2018/10/04/gru- close-access-cyber-operation-against-opcw

ESET. (2016). En route with Sednit. Haettu osoitteesta https://www.welivesecurity.com/wp-content/uploads/2016/10/eset- sednit-full.pdf

52

ESET Research. (2018, 24. huhtikuuta). Sednit update: Analysis of Zebrocy. WeLiveSecurity by ESET. Haettu 28.3.2021 osoitteesta https://www.welivesecurity.com/2018/04/24/sednit-update-analysis- zebrocy/

Eskola, J. & Suoranta, J. (2005). Johdatus laadulliseen tutkimukseen (7. painos). Vastapaino.

Falcone, R. (2018a, 18. joulukuuta). Sofacy creates new 'Go' variant of Zebrocy tool. Palo Alto Unit 42. Haettu 28.3.2021 osoitteesta https://unit42.paloaltonetworks.com/sofacy-creates-new-go-variant-of- zebrocy-tool/

Falcone, R. (2018b, 15. maaliskuuta). Sofacy uses DealersChoice to target European government agency. Palo Alto Unit 42. Haettu 29.3.2021 osoitteesta https://unit42.paloaltonetworks.com/unit42-sofacy-uses-dealerschoice- target-european-government-agency/

Falcone, R. & Lee, B. (2016, 17. lokakuuta). 'DealersChoice' is Sofacy's Flash Player exploit platform. Palo Alto Unit 42. Haettu 29.3.2021 osoitteesta https://unit42.paloaltonetworks.com/unit42-dealerschoice-sofacys- flash-player-exploit-platform/

Faou, M., Tartare, M. & Dupuy, T. (2021, 10. maaliskuuta). Exchange servers under siege from at least 10 APT groups. WeLiveSecurity by ESET. Haettu 19.4.2021 osoitteesta https://www.welivesecurity.com/2021/03/10/exchange-servers- under-siege-10-apt-groups/

FireEye. (2014). APT28: A window into Russia's cyber espionage operations? Haettu osoitteesta https://www.fireeye.com/current-threats/apt-groups/rpt-apt28.html

FireEye. (2015, 13. heinäkuuta). Demonstrating hustle, Chinese APT groups quickly use zero-day vulnerability (CVE-2015-5119) following Hacking Team leak. Haettu 22.4.2021 osoitteesta https://www.fireeye.com/blog/threat- research/2015/07/demonstrating_hustle.html

FireEye. (2017). APT28: At the Center of the Storm. Russia strategically evolves its cyber operations. Haettu osoitteesta https://www.fireeye.com/current-threats/apt-groups/rpt- apt28.html?utm_source=FEcom&utm_campaign=intel- apt28&utm_medium=ctireports

53

Friedman, N. (2013). The scourge of cyber espionage. United States Naval Institute. Proceedings, 139(6), 90 - 91.

F-Secure. (2019). BlackEnergy & Quedagh: The convergence of crimeware and APT attacks. haettu osoitteesta https://blog-assets.f-secure.com/wp- content/uploads/2019/10/15163408/BlackEnergy_Quedagh.pdf

Galeotti, M. (2016, toukokuu). Putin's hydra: Inside Russia's intelligence servives (ECFR/169). European Council on Forein Relations. Haettu osoitteesta https://ecfr.eu/archive/page/-/ECFR_169_- _INSIDE_RUSSIAS_INTELLIGENCE_SERVICES_(WEB_AND_PRINT)_ 2.pdf

Gilad, A., Pecht, E. & Tishler, A. (2021). Intelligence, cyberspace, and national security. Defence and Peace Economics, 32(1), 18 - 45. doi:10.1080/10242694.2020.1778966

Gioe, D. V. (2018). Cyber operations and useful tools: The approach of Russian hybrid intelligence. Intelligence and National Security, 33(7), 954 - 973. doi:10.1080/02684527.2018.1479345

Global Research & Analysis Team (GReAT). (2017, 27. kesäkuuta). Schoedinger's Pet(ya). SecureList by Kaspersky. Haettu 3.3.2021 osoitteesta https://securelist.com/schroedingers-petya/78870/

Global Research & Analysis Team (GReAT). (2018, 8. maaliskuuta). OlympicDestroyer is here to trick the industry. SecureList by Kaspersky. Haettu 29.3.2021 osoitteesta https://securelist.com/olympicdestroyer-is-here-to-trick-the- industry/84295/

Global Research & Analysis Team (GReAT). (2019, 30. huhtikuuta). APT trends report Q1 2019. Securelist by Kaspersky. Haettu 19.4.2021 osoitteesta https://securelist.com/apt-trends-report-q1-2019/90643/

Global Research & Analysis Team (GReAT). (2020a, 30. huhtikuuta). APT trends report Q1 2020. SecureList by Kaspersky. Haettu 19.4.2021 osoitteesta https://securelist.com/apt-trends-report-q1-2020/96826/

Global Research & Analysis Team (GReAT). (2020b, 8. toukokuuta). Naikon’s Aria. SecureList by Kaspersky. Haettu 22.4.2021 osoitteesta https://securelist.com/naikons-aria/96899/

Grunzweig, J., Scott, M. & Lee, B. (2016, 24. toukokuuta). New Wekby attacks use DNS requests as command and control mechanism. Palo Alto Unit 42.

54

Haettu 22.4.2021 osoitteesta https://unit42.paloaltonetworks.com/unit42-new-wekby-attacks-use- dns-requests-as-command-and-control-mechanism/

Heickerö, R. (2016). Cyber espionage and illegitimate information retrieval. International Journal of Cyber Warfare and Terrorism, 6(1), 13 - 23. doi:10.4018/IJCWT.2016010102

Holopainen, A., Puusa, A. & Juuti, P. (2020). Grounded theory: Aineistolähtöinen tutkimustapa. Teoksessa A. Puusa & P. Juuti (toim.), Laadullisen tutkimuksen näkökulmat ja menetelmät (239 - 255). Gaudeamus.

Hulnick, A. S. (2006). What's wrong with the intelligence cycle. Intelligence & National Security, 21(6), 959 - 979. doi:10.1080/02684520601046291

Hultquist, J. (2016, 8. tammikuuta). Sandworm Team and the Ukrainian power authority attacks. FireEye Blog. Haettu 29.3.2021 osoitteesta https://www.fireeye.com/blog/threat-research/2016/01/ukraine-and- sandworm-team.html

Hurley, M. M. (2012). For and from cyberspace: Conceptualizing cyber intelligence, surveillance and reconnaissance. Air & Space Power Journal, 26(6), 12 - 33.

Inkster, N. (2013). Chinese intelligence in the cyber age. Survival: Global Politics and Strategy, 55(1), 56–66. doi:10.1080/00396338.2013.767405

IntSights. (2019). Russia's most dangerous cyber threat groups. Haettu osoitteesta http://wow.intsights.com/rs/071-ZWD-900/images/RussianAPTs.pdf

Jaafar, F., Avellaneda, F. & Alikacem, E.-H. (2020). Demystifying the cyber attribution: An exploratory study. 2020 IEEE Intl Conf on Dependable, Autonomic and Secure Computing, Intl Conf on Pervasive Intelligence and Computing, Intl Conf on Cloud and Big Data Computing, Intl Conf on Cyber Science and Technology Congress (DASC/PiCom/CBDCom/CyberSciTech), (ss. 35 - 40). Calgary. doi:10.1109/DASC-PICom-CBDCom- CyberSciTech49142.2020.00022

Jensen, B., Valeriani, B. & Maness, R. (2019). Fancy bears and digital trolls: Cyber strategy with a Russian twist. Journal of Strategic Studies, 42(2), 212 - 234. doi:10.1080/01402390.2018.1559152

Kamyshev, E. (2009). Информационная безопасность и защита информации. Venäjän federaation koulutus- ja tiedevirasto.

55

Kari, M. J. (2019). Russian strategic culture in cyberspace: Theory of strategic culture - a tool to explain Russia's cyber threat perception and response to cyber threats (Väitöskirja). Jyväskylän yliopisto.

Kelle, U. (2005). "Emergence" vs. "forcing" of empirical data? A crucial problem of "grounded theory" reconsidered. Forum Qualitative Sozialforschung / Forum: Qualitative Social Research, 6(2). doi:10.17169/fqs-6.2.467

Kuusisto, T. (2014). Johdanto. Teoksessa T. Kuusisto (toim.), Kybertaistelu 2020 (Julkaisusarja 2, No 1/2014) (1 - 6). Maanpuolustuskorkeakoulu, taktiikan laitos.

Kuusisto, T. & Kuusisto, R. (2015). Cyber world as a social system. Teoksessa M. Lehto & P. Neittaanmäki (toim.), Cyber security: Analytics, technology and automation (31 - 43). Springer International Publishing. doi:10.1007/978-3- 319-18302-2

Laari, T. (toim). (2019). #kyberpuolustus: Kyberkäsikirja Puolustusvoimien henkilöstölle. Julkaisusarja 3: Työpapereita nro 12, Maanpuolustuskorkeakoulu, Sotataidon laitos. Haettu osoitteesta http://urn.fi/URN:ISBN:978-951-25-3120-2

Lehto, M. (2014a). Kybertaistelu ilmavoimaympäristössä. Teoksessa T. Kuusisto (toim.), Kybertaistelu 2020 (Julkaisusarja 2, No. 1/2014) (157 - 178). Maanpuolustusjkorkeakoulu, Taktiikan laitos.

Lehto, M. (2014b). Kybertaistelun toimintaympäristön teoreettinen tarkastelu. Teoksessa T. Kuusisto (toim.), Kybertaistelu 2020 (Julkaisusarja 2, No. 1/2014) (67 - 89). Maanpuolustuskorkeakoulu, Taktiikan laitos.

Luukkonen, M. (2020). Suomalainen tiedustelukulttuuri aikuisuuden kynnyksellä. Teoksessa T. Koivula (Toim.), Suomalaisen tiedustelukulttuurin jäljillä (Julkaisusarja 2: Tutkimusselosteita nro 7) (9 - 28). Maanpuolustuskorkeakoulu, Sotataidon laitos.

Mandiant. (2013). APT1: Exposing one of China's cyber espionage units. Haettu osoitteesta https://www.fireeye.com/content/dam/fireeye- www/services/pdfs/mandiant-apt1-report.pdf

Maschmeyer, L., Deibert, R. J. & Lindsay, J. R. (2021). A tele of two cybers - how threat reporting by cybersecurity firms systematically underrepresents threats to civil society. Journal of Information Technology & Politics, 18(1), 1 - 20. doi:10.1080/19331681.2020.1776658

Mercer, W., Rascagneres, P. & Ventura, V. (2020, 5. maaliskuuta). Bisonal: 10 years of play. Talos Intelligence. Haettu 19.4.2021 osoitteesta

56

https://blog.talosintelligence.com/2020/03/bisonal-10-years-of- play.html

Merritt, D.;& Mullins, B. (2011). Identifying cyber espionage: Towards a synthesis approach. The Proceedings of the 6th International Conference on Information Warfare and Security, (180 - 187).

Metsämuuronen, J. (2006a). Laadullisen tutkimuksen perusteet. Teoksessa J. Metsämuuronen (Toim.), Laadullisen tutkimuksen käsikirja (79 - 147). International Methelp.

Metsämuuronen, J. (2006b). Metodologian perusteet ihmistieteissä. Teoksessa J. Metsämuuronen (Toim.), Laadullisen tutkimuksen käsikirja (15 - 77). International Methelp.

Meyers, A. (2013a, 22. maaliskuuta). Who is Anchor Panda. CrowdStrike Blog. Haettu 21.4.2021 osoitteesta https://www.crowdstrike.com/blog/whois-anchor-panda/

Meyers, A. (2013b, 12. huhtikuuta). Who is Samurai Panda. CrowdStrike Blog. Haettu 21.4.2021 osoitteesta https://www.crowdstrike.com/blog/whois-samurai-panda/

Microsoft. (2015). STRONTIUM: A profile of a persistent and motivate adversary. Microsoft Security Intelligence Report (19), (3 - 28). Haettu osoitteesta https://www.microsoft.com/fi- fi/security/business/security-intelligence-report

Microsoft Security Response Center (MSRC). (2019, 5. elokuuta). Corporate IoT - a path to intrusion. Microsoft Security Response Center Blog. Haettu 29.3.2021 osoitteesta https://msrc-blog.microsoft.com/2019/08/05/corporate-iot-a-path-to- intrusion/

National Security Agency (NSA) & Federal Bureau of Investigation (FBI). (2020). Russian GRU 85th GTsSS deploys previously undisclosed Drovorub malware. Cybersecurity Advisory U/OO/160679-20 | PP-20-0714. Haettu osoitteesta https://media.defense.gov/2020/Aug/13/2002476465/-1/- 1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF

New Jersey Cybersecurity & Communication Integration Cell (NJCCIC). (2017, 8. lokakuuta). BlackEnergy: NJCCIC Threat Profile. Haettu 2.4.2021 osoitteesta https://www.cyber.nj.gov/threat-center/threat-profiles/ics-malware- variants/blackenergy

57

Offensive Security. (2021, 22. huhtikuuta). What is Kali Linux? Haettu 24.4.2021 osoitteesta https://www.kali.org/docs/introduction/what-is-kali-linux/

Paz, R. D. (2012). The HeartBeat APT campaign. Haettu osoitteesta https://www.trendmicro.de/cloud-content/us/pdfs/security- intelligence/white-papers/wp_the-heartbeat-apt-campaign.pdf

Phythian, M. (2013). Introduction: Beyond the intelligence cycle? Teoksessa M. Phythian (toim.), Understanding the intelligence cycle (1 - 8). Routledge.

Poliisi. (2020, 20. joulukuuta). Keskusrikospoliisi tutkii eduskunnan tietojärjestelmiin kohdistunutta tietomurtoa. Haettu 29.12.2020 osoitteesta https://poliisi.fi/-/keskusrikospoliisi-tutkii-eduskunnan- tietojarjestelmiin-kohdistunutta-tietomurtoa

Puolustusvoimat. (2021). Sotilastiedustelu: Julkinen katsaus 2021. Haettu osoitteesta https://puolustusvoimat.fi/documents/1948673/74055459/PV_sotilasti edustelu_raportti_www_FI_2021.pdf/

Puusa, A. & Julkunen, S. (2020). Uskottavuuden arviointi laadullisessa tutkimuksessa. Teoksessa A. Puusa & P. Juuti (toim.), Laadullisen tutkimuksen näkökulmat ja menetelmät (181 - 193). Gaudeamus.

Puusa, A. & Juuti, P. (2020). Laadullisen tutkimuksen olemus. Teoksessa A. Puusa & P. Juuti (toim.), Laadullisen tutkimuksen näkökulmat ja menetelmät (73 - 83). Gaudeamus.

Red Sky Alliance. (n.d.). Anchor Panda and Periscope - Threat actors targeting maritime operations. Haettu 22.4.2021 osoitteesta https://redskyalliance.org/transportation/anchor-panda-and- periscope-threat-actors-targeting-maritime-opera

Rikoslaki. (1889/39). Haettu osoitteesta https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L12

Ristolainen, M. (2017). Should ‘RuNet 2020’ be taken seriously? Contradictory views about cybersecurity between Russia and the West. Teoksessa J. Kukkola;M. Ristolainen;& J.-P. Nikkarila, GAME CHANGER: Structural transformation of cyberspace (7 - 26). Puolustusvoimien tutkimuslaitoksen julkaisuja 10. Haettu osoitteesta https://maavoimat.fi/documents/1951253/2815786/PVTUTKL+julkais uja+10.pdf/5d341704-816e-47be-b36d- cb1a0ccae398/PVTUTKL+julkaisuja+10.pdf.pdf

58

Sanchez, W. G. (2014, 10 lokakuuta). Timeline of Sandworm attacks. TrendLabs Security Intelligence Blog. Haettu 29.3.2021 osoitteesta https://blog.trendmicro.com/trendlabs-security-intelligence/timeline- of-sandworm-attacks/

Scott, J. & Spaniel, D. (2016). China's espionage dynasty: Economic death by a thousand cuts. Institute for Critical Infrastructure Technology. Haettu osoitteesta https://paper.seebug.org/papers/APT/APT_CyberCriminal_Campagi n/2016/2016.07.28.China_Espionage_Dynasty/ICIT-Brief-China- Espionage-Dynasty.pdf

Shakarian, P., Shakarian, J. & Ruef, A. (2013). Introduction to cyber-warfare: A multidisciplinary approach. Elsevier.

Siitonen, J. (1999). Voimaantumisteorian perusteiden hahmottelua (Väitöskirja). Oulun yliopisto.

Stewart, J. (2010, 3. maaliskuuta). BlackEnergy version 2 threat analysis. SecureWorks. Haettu 29.3.2021 osoitteesta https://www.secureworks.com/research/blackenergy2

Strauss, A. & Corbin, J. (1990). Basics of qualitative research: Grounded theory procedures and techniques. SAGE Publications.

Strauss, A. & Corbin, J. (toim.). (1997). Grounded theory in practice. Sage Publications.

Suojelupoliisi. (2017). Vuosikirja 2016. Haettu osoitteesta https://supo.fi/documents/38197657/40760236/2016_Supo_vuosikirja. pdf/

Suojelupoliisi. (2020, 29. lokakuuta). Kansallisen turvallisuuden katsaus 2020. Haettu osoitteesta https://supo.fi/documents/38197657/39761269/FI+Kansallisen+turvall isuuden+katsaus_2020.pdf/

Suojelupoliisi. (2021a, 18. maaliskuuta). Suojelupoliisi tunnisti eduskuntaan kohdistuneen kybervakoiluoperaation APT31:ksi. Haettu 19.3.2021 osoitteesta https://supo.fi/-/suojelupoliisi-tunnisti-eduskuntaan-kohdistuneen- kybervakoiluoperaation-apt31-ksi

Suojelupoliisi. (2021b). Vuosikirja 2020. Noudettu osoitteesta https://vuosikirja.supo.fi/documents/62399122/66519032/Supo+Vuosi kirja+2020.pdf/c30e1ebc-fa8a-e379-ed2e- d950061b5d5d/Supo+Vuosikirja+2020.pdf?t=1616408390932

59

Suomen kyberturvallisuusstrategia. (2013). Valtioneuvoston periaatepäätös 24.1.2013. Turvallisuuskomitean sihteeristö.

ThaiCERT. (2020, 8. heinäkuuta). Threat group cards: A threat actor encyclopedia v. 2.0. Electronic Transactions Development Agency. Haettu osoitteesta https://www.thaicert.or.th/downloads/files/Threat_Group_Cards_v2. 0.pdf

Thomas, D. (2008). U.S military intelligence analysis: Old and new challenges. Teoksessa R. Z. George & J. B. Bruce, Analyzing intelligence: Origins, obstacles, and innovations (138 - 154). Georgetown University Press.

ThreatConnect. (2015). CameraShy: Closing the aperture on China's Unit 78020. Haettu osoitteesta https://cdn2.hubspot.net/hubfs/454298/Project_CAMERASHY_Threat Connect_Copyright_2015.pdf?t=1443030820943&submissionGuid=a8f8ea c6-4f99-41b9-ace6-81f11e0f2ade

Trend Micro. (2014, 6. maaliskuuta). The siesta campaign: A new targeted attack awakens. Haettu 19.4.2021 osoitteesta https://www.trendmicro.com/en_us/research/14/c/the-siesta- campaign-a-new-targeted-attack-awakens.html

Turvallisuuskomitea. (2018). Kyberturvallisuuden sanasto (TSK 52). Sanastokeskus TSK ry.

US Joint Chiefs of Staff. (2018). Cyberspace operations (Joint Publication 3-12). Haettu osoitteesta https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp3_12.pd f

Uusitalo, H. (1991). Tiede, tutkimus ja tutkielma: Johdatus tutkielman maailmaan. WSOY.

Villeneuve, N. (2011, 17. joulukuuta). The Sykipot campaign. Trendlabs Security Intelligence Blog. Haettu 19.4.2021 osoitteesta https://blog.trendmicro.com/trendlabs-security-intelligence/the- sykipot-campaign/

Virtanen, J. (2006). Fenomenologia laadullisen tutkimuksen lähtökohtana. Teoksessa J. Metsämuuronen (toim.), Laadullisen tutkimuksen käsikirja (149 - 213). International Methelp.

Virtanen, J.-P. & Jokinen, J. (2014). Maavoimat kybertaistelukentällä - Näkökulmia viidenteen sodankäynnin ulottuvuuteen. Teoksessa T.

60

Kuusisto (toim.), Kybertaistelu 2020 (Julkaisusarja 2, No. 1/2014) (135 - 156). Maanpuolustuskorkeakoulu, Taktiikan laitos.

Wangen, G. (2015). The role of malware in reported cyber espionage: A review of the impact and mechanism. Information, 6(2), 183 - 211. doi:10.3390/info6020183

Warner, M. (2002). Wanted: A defintion of "intelligence". Studies in Intelligence, 46(3), 16 - 22.

Warner, M. (2013). The past and future of the intelligence cycle. Teoksessa M. Phythian (toim.), Understanding the intelligence cycle (9 - 20). Routledge.

Wiener, C., Strauss, A., Fagerhaugh, S. & Suczek, B. (1997). Trajectories, biographies, and the evolving medical scene: Labor and delivery and the intensive care nursery. Teoksessa A. Strauss & J. Corbin (toim.), Grounded theory in practice (229 - 250). Sage Publications.

Wihersaari, K. (2015). Intelligence acquisition methods in cyber domain: examining the circumstantial applicability of cyber intelligence acquisition methods using a hierarchical model (Pro gradu -tutkielma). Maanpuolustuskorkeakoulu.

Wilhoit, K. & Gogolinski, J. (2014, 16. lokakuuta). Sandworm to Blacken: The SCADA connection. TrendLabs Security Intelligence Blog. Haettu 2.4.2021 osoitteesta https://blog.trendmicro.com/trendlabs-security- intelligence/sandworm-to-blacken-the-scada-connection/

Williams, P., Dunlevy, C. & Shimeall, T. (2002). Intelligence analysis for Internet security. Contemporary Security Policy, 23(2), 1 - 38. doi:10.1080/713999739

Zykov, K. (2020, 13. elokuuta). CactusPete APT group’s updated Bisonal backdoor. SecureList by Kaspersky. Haettu 19.4.2021 osoitteesta https://securelist.com/cactuspete-apt-groups-updated-bisonal- backdoor/97962/

61

LIITE 1 TUTKITUISTA RYHMISTÄ KÄYTETTYJÄ NIMIÄ

Käytetty nimi Taustaorganisaatio Aliakset Fancy Bear GRU, yksikkö 26165 APT 28 (Mandiant), Sofacy (Kaspersky), Sednit (ESET), Group (CrowdStrike) 74 (Talos), TG-4127 (SecureWorks), Pawn Storm (Trend Micro), Tsar Team (iSight), Strontium (Microsoft), Swallowtail (Symantec), SIG40 (NSA), Snakemackerel (iDefese), Iron Twilight (SecureWorks), ATK 5 (Thales), T-APT-12 (Tencent), TAG-0700, Grizzly Steppe (yhdessä Cozy Bear -ryhmän kanssa; Yhdysvaltain hallinto) Voodoo Bear GRU, yksikkö 74455 Sandworm Team (Trend Micro), Iron Viking (SecureWorks), (CrowdStrike) Quedagh (F-Secure), TEMP.Noble (FireEye), ATK 14 (Thales), TeleBots (ESET), ELEKTRUM (Dragos), BlackEnergy (Group) (NCSC) Comment Panda PLA, Pääesikunnan 3. APT 1 (Mandiant), Comment Crew (Symantec), TG-8223 (CrowdStrike) osaston 2. toimisto, (SecureWorks), BrownFox (Symantec), Group 3 (Talos), yksikkö 61398 Byzantine Hades/Candor (Yhdysvaltain ulkoministeriö), Shanghai Group (SecureWorks), GIF89a (Kaspersky) Operation Titan PLA, Pääesikunnan 3. Rain (Yhdysvaltain osaston 2. toimisto, hallinto) yksikkö 61398

Putter Panda PLA, Pääesikunnnan APT 2 (Mandiant), TG-6952 (SecureWorks), Group 36 (Talos), (CrowdStrike) 3. osaston 12. Sulphur (Microsoft), MSUpdater toimisto, yksikkö 61486 Karma Panda PLA, Shenyangin Tonto Team (FireEye), Heartbeat (Trend Micro), CactusPete (CrowdStrike) sotilasalueen (Kaspersky), LoneRanger Teknisen tiedustelun toimisto, mahdollisesti yksikkö 65016 tai 65017 Anchor Panda PLA:n laivasto APT 14 (Mandiant), Aluminum (Microsoft), QAZTeam (CrowdStrike) Dynamite Panda PLA:n laivasto APT 18 (Mandiant), TG-0416 (SecureWorks), Wekby (Palo (CrowdStrike) Alto), Scandium (Microsoft) Lotus Panda PLA, Chengdun Naikon (Kaspersky), CameraShy (ThreatConnect) (CrowdStrike) sotilasalueen toinen Teknisen tiedustelun toimisto, yksikkö 78020 Maverick Panda PLA:n laivasto APT 4 (Mandiant/FireEye), Wisp Team (Symantec), Sykipot (CrowdStrike) (AlienVault) Samurai Panda PLA:n laivasto (CrowdStrike) Suluissa on nimen antanut organisaatio. PLA:n yksiköt ovat vanhan organisaa- tion mukaisia (ennen vuosien 2015–2020 rakenneuudistusta).

62

LIITE 2 AIKAJANOJA

Venäläiset toimijat:

63

Kiinalaiset toimijat: