Noin 20 suomalaisorganisaatiota murrettiin vanhalla verkkolaitteen heikkoudella – näin hyökkäys eteni
Kampanjan tekijä ja EU-pakotteet on jo uutisoitu. Vasta nyt selviää, kuinka moni suomalainen verkko joutui kohteeksi – ja että sisään päästiin vanhalla SNMP-heikkoudella, ei Ciscon paljon puhutulla aukolla.
Tiivistelma
Ylen mukaan noin 20 suomalaisen organisaation verkkolaitteissa oli heikkous, jota Venäjän FSB:n 16. keskus hyödynsi murtautuakseen verkkoihin. Ensisijainen reitti oli vanhentunut SNMP, ei Ciscon Smart Install -aukko. Kotikäyttäjän kytkös on alavirrassa: murroista vuotava tieto ruokkii uskottavampia kalasteluviestejä.
Venäjän hakkereiden verkkovakoilusta on kirjoitettu viime päivinä paljon, mutta yksi tieto on puuttunut. Kuinka moni suomalainen organisaatio tosiasiassa joutui kohteeksi?
Yle kertoi 17. heinäkuuta luvun, joka antaa kampanjalle ensimmäistä kertaa kotimaiset kasvot. Noin 20 suomalaisen organisaation verkkolaitteissa oli heikkous, jota Venäjän hakkerit hyödynsivät murtautuakseen niiden verkkoihin.
Kyse on samasta FSB:n 16. keskuksen operaatiosta, josta uutisoitiin viime viikolla, kun Suomi nimettiin EU:n pakoteuhrien joukkoon. Toimijaryhmä tunnetaan tietoturvatutkimuksessa nimillä Berserk Bear ja Turla, ja kansainvälisesti siihen viitataan myös tunnisteella "Static Tundra".
Tekijä on siis ollut tiedossa jo viikon. Uutta on mittakaava kotimaassa ja se, miten murto teknisesti eteni. Nämä kaksi tietoa erottavat jutun aiemmasta pakote- ja vakoilu-uutisoinnista.
Näin murto eteni
Yle kuvaa hyökkäyksen ketjuna, jossa jokainen askel avaa seuraavan. Ensisijainen heikkous oli vanhentunut SNMP eli verkonhallintaprotokolla, joka on tarkoitettu laitteiden hyödylliseen etävalvontaan. Toissijainen reitti oli Ciscon Smart Install -toiminto, joka oli jätetty päälle silloinkin, kun sille ei ollut enää käyttöä.
Hyökkääjä skannaa verkosta altista SNMP-rajapintaa. Sen kautta paikannetaan laitteen konfiguraatio, josta puretaan salasanatiivisteet. Tiivisteet murretaan, laite otetaan haltuun ja sieltä edetään syvemmälle verkkoon.
Reititin tai kytkin on juuri siksi houkutteleva kohde. Se näkee kaiken liikenteen, mutta sitä valvotaan oikeastaan harvemmin kuin työasemia tai palvelimia.
Pahinta on hitaus. Murto voi jatkua havaitsematta viikkoja tai kuukausia, koska verkkolaite ei näytä mitään ulospäin ja jatkaa toimintaansa aivan normaalisti.
SNMP (verkonhallintaprotokolla)
SNMP:llä valvotaan ja hallitaan verkkolaitteita etänä. Vanhoissa versioissa todennus on heikko.
Juuri sen kautta laitteen konfiguraatio ja siihen tallennetut salasanat voivat vuotaa ulkopuoliselle.
Juhani Eronen, Kyberturvallisuuskeskuksen johtava asiantuntija, tiivistää sen, miksi yksittäinen unohdus on vaarallinen.
– Yhden virheen avulla voidaan löytää toinen virhe. Kun nämä virheet alkavat kertautua, hyökkääjillä alkaa olla jo mahdollisuus, Eronen sanoo.
Cisco-aukko ei osunut Suomeen
Yksi lohdullinen yksityiskohta erottuu joukosta. Maailmassa on Ylen mukaan noin 3 000 Cisco Smart Install -haavoittuvaa laitetta, mutta yksikään niistä ei ollut Suomessa altistettu suoraan internetiin.
Suoraan internetiin altistettu tarkoittaa laitetta, jonka hallintaan pääsee käsiksi mistä tahansa verkosta ilman suojaavaa väliä. Sellaista Cisco-laitetta ei Suomesta löytynyt, joten hyökkääjä joutui turvautumaan toiseen oveen. Suomalaistapaukset keskittyivät nimenomaan SNMP-heikkouksiin, jotka olivat täällä se todellinen sisäänpääsyreitti.
Smart Install -reitti nojaa tunnettuun haavoittuvuuteen CVE-2018-0171, joka on ollut julkisesti tiedossa jo vuodesta 2018. Täällä se ei ollut se auki jäänyt ovi, mutta paikattavaa löytyi silti riittämiin.
Moni olennainen jää toistaiseksi pimentoon. Kohteena olleiden organisaatioiden toimialoja tai nimiä ei ole julkistettu, eikä ole vahvistettu, varastettiinko verkoista tietoa vai tyydyttiinkö vain jalansijaan. Syyte- tai pidätyskulmaa ei ole, ja valtiollisessa vakoilussa sellaista harvoin tuleekaan.
Entä kotikäyttäjä?
Häntä tämä koskee melko vähän. Kohteet ovat organisaatioita, ja kyse on IT-ylläpidon ja valtiovakoilun rajapinnasta, ei kotitalouksien reitittimistä.
Kotikäyttäjän todellinen kytkös on alavirrassa. Valtiollisten murtojen kautta vuotanut tieto tekee myöhemmistä kalasteluviesteistä uskottavampia. Traficom antoi eilen erikseen kotireitittimen laitehygieniaohjeet, eikä niitä kannata tässä toistaa.
Organisaatioille ohje on konkreettisempi. Kyberturvallisuuskeskus neuvoo tarkistamaan SNMP- ja Smart Install -altistuksen sekä sulkemaan tarpeettomat hallintaportit. Kuinka syvälle 16. keskus ehti näissä 20 verkossa, jää nähtäväksi.
Lahteet
- Yle (17.07.2026)
- Traficom / Kyberturvallisuuskeskus (16.07.2026)
- NVD (CVE-2018-0171) (21.08.2025)