Aleksanteri Kivimäen hakkerihistoria opettaa, ettei tietoturvasta pidä tinkiä

Vastaamon rikosvyyhti on hyvä esimerkki siitä, miten paljon tuhoa hakkeri voi saada aikaan.

Psykoterapiakeskus Vastaamon rikosvyyhti on hyvä esimerkki siitä, miten paljon tuhoa ja inhimillistä kärsimystä hakkeri voi saada aikaan, kun kohteen tietoturva on retuperällä. Aleksanteri Kivimäelle Vastaamon tapaus oli vain yksi keikka muiden joukossa, sillä hänellä on paljon kokemusta yritysten kiristämisestä. Suomalaiselle yhteiskunnalle se kuitenkin oli herätys todellisuuteen, johon juuri kukaan ei ollut valmistautunut. 

Kun aloin kirjoittaa tietokirjaani Ransom man – Vastaamon tapaus ja Aleksanteri Kivimäen hakkerihistoria, minun oli vaikea ymmärtää, miten Kivimäki oli pystynyt toteuttamaan Vastaamon rikosvyyhdin ilman ilmeisiä tunnontuskia. Sukellettuani Kivimäen hakkerihistoriaan sain selville asioita, joista ei ole koskaan aiemmin kerrottu julkisuudessa. Pian jouduin toteamaan, että Vastaamon tapaus oli vain luontevaa jatkoa kaikelle sille, mitä Kivimäki oli aikaisemmin tehnyt.

Kivimäki ei ole hakkerina mikään virtuoosi. Hän ei herätä kauhua ylivertaisilla taidoillaan, mutta hänellä on muita ominaisuuksia, jotka tekevät hänestä yhden maailman pahamaineisimmista hakkereista. Rikoksia tehtaillessaan hän on kekseliäs ja aikaansaava, mutta ennen kaikkea hän on täysin häikäilemätön. Hänellä ei ole mitään rajoja. Hän esimerkiksi kiristi Vastaamon asiakkaita, vaikka tiesi monen olevan jo itsemurhan partaalla, eikä hän tehnyt sitä edes rahan takia, vaan ainoastaan huvin vuoksi.

Kivimäki itsessään on paras mahdollinen vastaus kysymykseen, miksi tietoturvaan pitää suhtautua vakavasti. Mutta ennen kuin menen hänen hakkerihistoriaansa, käyn läpi keskeiset syyt, jotka tekevät Vastaamon rikosvyyhdistä poikkeuksellisen niin Suomessa kuin maailmalla. Esittelen myös, kuinka Kivimäki hankki materiaalia, jolla kiristi yrityksiä.

Haittaohjelma teki tietomurron

Syksyllä 2020 Kivimäki alkoi kiristää Vastaamon johtoa. Hän ilmoitti, että oli saanut haltuunsa Vastaamon asiakkaiden potilasasiakirjat, ja uhkasi julkaista ne, ellei saa 40 bitcoinia eli tuon ajan kurssilla noin 400 000 euroa.

Potilasasiakirjat olivat päätyneet Kivimäen haltuun jo vuonna 2018, mutta hän huomasi sen vasta kaksi vuotta myöhemmin. Kivimäki oli laatinut haittaohjelman, joka eteni netissä ja pyrki tunkeutumaan yritysten tietokantoihin. Aina kun ohjelma siinä onnistui, se latasi tietokannan Kivimäen palvelimelle.

Ohjelma tunkeutui Vastaamon potilastietokantaan, jonka suojaus oli onneton. Sisään pääsi oletustunnuksella ”root”, ja salasanaksi kelpasi mikä tahansa. Sen jälkeen ohjelma latasi potilasasiakirjat Kivimäen palvelimelle. Niitä oli yli 33 000 kappaletta. Kun Kivimäki myöhemmin kävi läpi palvelimen sisältöä, huomasi hän materiaalin sopivan kiristämiseen.

Jokaisessa potilasasiakirjassa oli asiakkaan yhteystiedot ja sosiaaliturvatunnus sekä terapeutin tekemät muistiinpanot keskusteluista. Jotkut asiakkaat olivat käyneet Vastaamossa vain kerran, joten heistä oli vain vähän muistiinpanoja. Jotkut olivat käyneet vuosia, joten heistä oli kymmeniä sivuja. Muistiinpanoissa saatettiin kuvailla hyvin yksityiskohtaisesti äärimmäisen arkaluontoisia asioita, joita asiakkaat eivät olleet uskaltaneet kertoa kenellekään muulle kuin terapeutille.

Vuonna 2019 jonkun toisen laatima haittaohjelma tunkeutui Vastaamon potilastietokantaan, latasi sen sisällön ja tyhjensi tietokannan. Ohjelma jätti automaattisen viestin, jossa oli ohjeet lunnaiden maksamiseksi ja tietokannan takaisin saamiseksi. Kivimäki ei siis ole ainoa, joka on käyttänyt tuollaista ohjelmaa yritysten kiristämiseen.

Vastaamon tapauksen ainutlaatuisuus

Vastaamon rikosvyyhti on tiettävästi ainoa tapaus koko maailmassa, jossa mielenterveysongelmista kärsivien ihmisten – jopa lasten – potilasasiakirjoja on käytetty kiristämisen välineenä, ja kaiken huipuksi niitä on myös julkaistu kiristämisen tehostamiseksi. Teko on niin törkeä, että harva paatunutkaan verkkorikollinen sellaiseen ryhtyisi. Kertoo paljon Kivimäen maineesta, että moni viranomainen epäili heti häntä syylliseksi.

Tapaus tulee jäämän aikakirjoihin myös Kivimäen oman toilailun vuoksi. Kun Vastaamon johto ei suostunut maksamaan lunnaita, alkoi Kivimäki painostaa johtoa julkaisemalla sata potilasasiakirjaa päivässä. Kolmantena päivänä hän teki massiivisen mokan ja julkaisi vahingossa tiedoston, joka piti sisällään kaikki yli 33 000 potilasasiakirjaa. Sen jälkeen hänellä ei ollut enää mitään, millä kiristää Vastaamon johtoa.

Niinpä Kivimäki lähetti kiristysmeilin Vastaamon asiakkaille vaatien kultakin 200 euroa, jotta ei julkaisisi kyseisen henkilön potilasasiakirjaa. Oikeasti asiakirjat levisivät jo netissä hallitsemattomasti. Kivimäki on tienannut rikoksillaan miljoonia, joten 200 euroa ei merkitse hänelle mitään. Eräs hänen ystävänsä sanoikin haastattelussa, ettei Kivimäki tuossa vaiheessa enää ollut rahan perässä, vaan toimi noin ”just for the lulz”.

Monelle Vastaamon asiakkaalle jo pelkkä kiristysoperaatio oli traumaattinen kokemus, mutta kun sen päätteeksi heidän tietonsa levisivät nettiin, meni heidän elämänsä pysyvästi raiteiltaan. Vielä tänäkin päivänä tietoja käytetään identiteettivarkauksiin ja kiristämiseen. Jotkut Vastaamon asiakkaat ovat joutuneet sairauseläkkeelle, jotkut ovat päätyneet itsemurhaan.

Viranomaisille Vastaamon tapaus toi täysin uudenlaisia haasteita. Poliisin tietojärjestelmää ei ole luotu sellaiseksi, että yhteen rikokseen voisi lisätä 33 000 uhria. Tapaus työllisti satoja poliiseja ja meinasi halvaannuttaa muun poliisitoiminnan. Myös oikeuslaitosta tapaus on kuormittanut ennennäkemättömällä tavalla. Psykoterapiakeskus Vastaamolle tapaus oli kohtalokas, sillä yritys meni konkurssiin vuonna 2021.

Nuoren Kivimäen maalitaulut

Kivimäki alkoi tehtailla rikoksia vuonna 2012, kun hän oli 15-vuotias. Todennäköisesti hän on tehnyt rikoksia jo aiemminkin, mutta niistä ei ole säilynyt todisteita. Kivimäki kuului Hack the Planet -nimiseen hakkeriryhmään, joka teki tietomurtoja ja palvelunestohyökkäyksiä omalla bottiverkollaan.

Hack the Planetin johtaja Nathan Nye ei ymmärtänyt, että kun ryhmään kuuluu Kivimäen kaltainen henkilö, oma henkilöllisyys on syytä pitää visusti salassa. Ensin Kivimäki puukotti Nyeta selkään toimittamalla tästä ilmoituksen Yhdysvaltain liittovaltion poliisin FBI:n vihjesivustolle. Sitten Suomessa asuva Kivimäki järjesti niin sanotun swattauksen Nyen kotitaloon Floridassa. Kivimäki kavereineen teki perättömän vaarailmoituksen paikalliselle poliisiasemalle, jonka seurauksena poliisit rynnäköivät Nyen kotiin.

Yhdysvaltalainen pilvipalveluiden tarjoaja Linode joutui Hack the Planetin tulilinjalle vuonna 2013. Tuolloin ryhmä tunkeutui yrityksen tietokantaan ja latasi sieltä itselleen kaiken mahdollisen, kuten valtavan määrän asiakkaiden luottokorttien tietoja. Linodelle aiheutui tästä 300 000 dollarin vahingot ja mainehaittaa.

Mutta Linode ei ottanut opikseen ja panostanut riittävästi tietoturvaan. Seuraavana vuonna Kivimäki ilmestyi yrityksen viralliselle IRC-kanavalle ja kertoi siellä, kuinka Linoden palvelimelle voi tunkeutua. Sen jälkeen hän kirjoitti komennon, jolla kopioi yrityksen asiakastietokannan.

EC-Council on yhdysvaltalainen yritys, joka tarjoaa koulutusta kyberturvallisuuden alalla. Sen palveluksia käyttävät muun muassa Yhdysvaltain armeija, FBI ja YK. Jokainen koulutukseen tuleva henkilö joutuu toimittamaan EC-Councilille valokuvan passistaan sähköpostitse. Vuonna 2014 Kivimäki päätti pitää EC-Councilia pilkkanaan, joten hän tärveli yrityksen kotisivun ja otti hallintaansa sen sähköpostitilin saaden haltuunsa tuhansia passeja.

Ehkä eniten nuoren Kivimäen tuhovimmasta sai kärsiä Kabam-niminen kanadalainen pelifirma, jonka tietojärjestelmään Kivimäki murtautui vuonna 2013. Seuraavan puolen vuoden ajan hän tutki kaikkia mahdollisia haavoittuvuuksia, joita Kabamista löysi, ja hyödynsi niitä kiusantekoon. Hän aiheutti peräti 18 miljoonan dollarin vahingot.

Aikuisen Kivimäen tekemistä rikoksista on vaikeampi löytää tietoa, mutta olen saanut selville, että Kivimäki on tienannut miljoonia huijaamalla ihmisiä, jotka yrittävät ostaa huumeita Tor-verkosta. Tämä on tapahtunut tietojenkalastelulinkeillä, joiden avulla Kivimäki on päässyt tyhjentämään uhriensa kryptolompakon. Jopa huumeita ostavien rikollisten on siis syytä olla valppaana ja pitää huolta tietoturvastaan.

Lainsäädäntö laahaa jäljessä

Tässä artikkelissa olen käsitellyt vain murto-osaa Kivimäen rikoksista. Hän on saanut niistä mitättömän pieniä tuomioita. Vuonna 2015 hän sai kaksi vuotta ehdollista vankeutta ja vuonna 2022 kymmenen kuukautta ehdollista vankeutta. Molemmat tuomiot tulivat nuoruuden rikoksista.

Keväällä 2024 Kivimäki tuomittiin kuuden vuoden ja kolmen kuukauden ehdottomaan vankeusrangaistukseen Vastaamon rikosvyyhdistä. Tuomiota on syystäkin pidetty naurettavana, mutta se on lähes maksimirangaistus, jonka Kivimäen rikoksista voi Suomen lain mukaan antaa. Koska Kivimäki on ensikertalainen kiven sisässä, joutuu hän istumaan tuomiostaan vain puolet, ja lisäksi siitä vähennetään tutkintavankeuden aika eli yli vuosi. Todennäköisesti Kivimäki pääsee vapauteen jo kesällä 2026.

Kun verkkorikoksia koskevaa lainsäädäntöä on aikanaan laadittu, ei kukaan voinut aavistaa, mitä kaikkea kotitietokoneilla voi tulevaisuudessa tehdä. Niinpä rangaistusasteikot ovat auttamatta vanhentuneet. Jonain päivänä suomalainen yhteiskunta tulee kohtaamaan Kivimäkeä pahemman verkkorikollisen, ja silloin rangaistusten on syytä olla ajan tasalla.

 

---

Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 4-5/2025.

Tilaa lehti!