APT-operaatioiden luomat kyberturvallisuusuhat keskisuurille ja suurille suomalaisorganisaatioille

Abstract

Tämän opinnäytetyön tarkoituksena on luoda ajantasainen katsaus APT-operaatioiden luomista uhista suurille ja keskisuurille suomalaisyrityksille sekä -organisaatioille. Toimeksiantajana toimi suomalainen tietoturvapalveluja tarjoava yritys.

Termi APT tulee englanninkielisistä sanoista Advanced Persistent Threat, ja käytännössä sillä tarkoitetaan edistynyttä, pitkäkestoista kyberuhkaa. Nämä kyberuhat toteutetaan operaatioina, jotka käsittävät allensa teollisuusvakoilua, sotilastiedustelua, ydinvoimaohjelmien vakoilua sekä paljon muutakin rikollistoimintaa, kuten pankkien ja kryptopörssien ryöstämistä, palvelunestohyökkäyksiä sekä lunnashaittaohjelmahyökkäyksiä. APT-operaatioita suorittavat tietyt erikoistuneet, yleensä valtiollisia sidoksia omaavat teknisesti taitavat ryhmät.

APT-operaatioista löytyy kohtalaisesti eri tietoturvayritysten, tutkimuslaitosten ja ajatushautomoiden raportteja sekä tutkimuksia. Tämän opinnäytetyön keskeisenä tavoitteena on koostaa yhteen suomalaisten keskisuurien ja suurien organisaatioiden kannalta olennaisimpia hyökkäystekniikoita, operaatioita sekä niitä toteuttavia ryhmiä.

Opinnäytetyötä varten haastateltiin kahta kyberturvallisuusalan ammattilaista, jotka pystyivät työnkuvansa ja/tai työkokemuksensa kautta tarjoamaan ajankohtaista tietoa suomalaisia organisaatioita uhkaavista tekijöistä ja tekniikoista. Haastatteluiden sekä muun aineiston pohjalta tehtiin johtopäätöksiä suomalaisia organisaatioita potentiaalisesti eniten uhkaavista APT-operaatioista.

Tutkimuksen tulokset tukevat aiempia havaintoja siitä, että suomalaisten organisaatioiden kannalta suurinta uhkaa tuottavat venäläiset, kiinalaiset ja pohjoiskorealaiset APT-operaatiot, kuten APT28, APT31 ja APT38. Nämä operaatiot osoittavat suurta kiinnostusta eurooppalaisia ja suomalaisia kohteita kohtaan, ja tästä syystä suomalaisten organisaatioiden tulisi olla hyvin perillä näiden operaatioiden toiminnasta. Koska APT-operaatioiden todellinen lukumäärä ei kuitenkaan ole täysin vedenpitävästi todennettavissa, on mahdotonta sanoa täydellä varmuudella, mitkä operaatiot uhkaavat konkreettisesti eniten suomalaisia organisaatioita.

The aim of this thesis is to provide insight into APT operations that pose the most notable risk to mid-sized and large Finnish companies and organisations. APT is an abbreviation for Advanced Persistent Threat. This term was created to describe the methodology and qualities that sophisticated, targeted cyber threats possess.

APT operations cover many kinds of activities ranging from military, industrial, energy and nuclear technology espionage to ransomware attacks and Distributed Denial-of-Service (DDoS) disruptions. APT operations are conducted by APT groups. These groups of hackers are highly skilled, well resourced, usually nation-state funded.

For this thesis, numerous articles and research papers from think tanks, cybersecurity companies, and research institutes were reviewed. Additionally, two cybersecurity professionals were interviewed, and they provided insight into the topic based on their experience.

Based on the research conducted for the thesis, key findings were formulated. These findings support previous observations that the most threatening APT operations for Finnish organisations are of Russian, Chinese and North Korean origin. These operations are conducted by groups such as APT28, APT31 and APT38. However, due to the hidden and sophisticated nature of APT operations, it is virtually impossible to say with absolute certainty which groups pose the most significant risk to Finnish companies and organisations.