IT Army of Ukraine – Ukrainan kybervasara
Ukrainan IT-armeija on Telegram-kanavalla toimiva ryhmä, joka tekee koordinoituja iskuja venäläistoimijoita vastaan.
Juhani Merilehto
09.8.2022

IT Army of Ukraine – Ukrainan IT-armeija – on Telegram-kanavalla toimiva, poliittisesti ja eettisesti motivoitunut ryhmittymä, jota koordinoidaan operatiivisten kohteiden listauksella ja jonka toimintatapana on hajautettu kybervaikuttaminen.

Ryhmä onkin iskenyt palvelunestohyökkäyksillä esimerkiksi Venäjän turvallisuuspalveluja, pankkisektoria, lipunmyyntipalveluja, uutissivustoja, sekä myös länsimaalaisia yrityksiä kohtaan, jotka eivät ole poistuneet Venäjän markkinoilta ryhmän mielestä riittävän nopeasti. Kirjoittamishetkellä viimeisimpinä kohteina ovat olleet eläkerahastot sekä postipalvelut.

Poikkeuksellisen ryhmästä tekee sen koko ja koostumus – kirjoitushetkellä n. 250 tuhatta jäsentä eri maista – myös Suomesta. Havaintojen perusteella suuri osa on ”mattimeikäläisiä”, joilla on vain perustason tietokoneen käyttötaidot. Mukana on myös IT-ammattilaisia, harrastelijahakkereita, sekä kulissien takana toimivia Ukrainan hallinnon ammattilaisia.

Ukrainan sodan eskaloituessa nykyiseen mittaansa 24. helmikuuta 2022, yhtenä vastareaktiona Venäjää vastaan syntyi ryhmittymiä, jotka toimivat kyberulottuvuudessa. Yksi näistä ryhmittymistä oli IT Army of Ukraine (https://t.me/itarmyofukraine2022)

Ukrainan IT-armeijan synty nivoutuu voimakkaasti Ukrainan digiministeri Myhailo Fedorovin viesteihin Twitterissä, Facebookissa, sekä Telegramissa joissa tämä ilmoitti IT-armeijan luomisesta ja kutsui kaikkia tietotekniikkataitoisia liittymään mukaan.

Operaatiologiikka

Ryhmän operaatiologiikka on yksinkertainen. Kanavan ylläpitäjät postaavat kohdelistoja vaihtelevilla yksityiskohdilla ja lyhyillä ohjeistuksilla. Pääasiallisena taktiikkana on ohjata kanavaa seuraavia vapaaehtoisia käyttämään palvelunestohyökkäyksiä (DoS/DDoS) listattuja kohteita vastaan.

Tavoitteena on häiritä systemaattisesti Venäjän yhteiskunnan toimintaa. Toimintaan on kuulunut myös informaatiovaikuttamista, kuten esimerkiksi Ukrainan sotaan liittyvän informaation kirjoittaminen Google-arvosteluihin Venäjällä.

Ryhmä on myös esimerkiksi julkaissut videoita, joissa se soittaa venäläisten sotilaiden omaisille – nämä videot ovat kuitenkin osa huomattavasti vaativampaa toimintaa, joissa ryhmän sisäisemmät toimijat ovat mm. tunnistaneet valvontakamerakuvista varastettua tavaraa kotimaahansa lähettäneitä venäläissotilaita. Ryhmällä voidaankin katsoa olevan julkinen puoli, joka koostuu kanavaa seuraavista ja sisäinen puoli, joka koostuu Ukrainan hallitukseen tiukemmin kytköksissä olevista ammattilaisista.

Kohteet ja vaikutus

Ryhmä on toiminut vaihtelevan onnistuneesti yli 600 kohdetta vastaan, joihin lukeutuu mm. Venäjän suurin lipunmyyntipalvelu, logistiikkayritysten järjestelmiä, pankkipalveluita, ministeriöiden sivustoja ja palveluja, sosiaalisen median sivustoja, uutissivustoja jne. Yksittäisten kohteiden vaihtamisen sijaan ryhmä on pyrkinyt haittaamaan sivustojen ja palvelujen toimintaa laajasti ja jatkuvasti. Aluksi kohteet olivat pääasiallisesti Venäjän hallintoon suoraan kytköksissä olevia, mutta toiminta on myöhemmin hajaantunut myös perifeerisempiin kohteisiin.

Vasemmalla ryhmän ensimmäinen postaus ja oikealla esimerkki kohdelistasta

Kehitys

Kanavan jäsenmäärä ylitti hyvin nopeasti 300 000, joskin se on tasaisesti laskeutunut nykyiseen lukuunsa, joka kirjoitushetkellä on noin 250 000. Yksi merkittävistä tapahtumista kanavalla oli 6. maaliskuuta, jolloin kanavan ylläpidon julkistamiin viesteihin tuli kommentointimahdollisuus.

Tämä toi vuorovaikutuksellisuutta ryhmän toimintaan, ja jäsenet aloittivat nopeasti kommentoinnin avulla jakamaan tietoa kohteista, toiminnan vaikuttavuudesta, sekä tietoa tekniikoista ja työkaluista. Ryhmä on myös ottanut sivuston käyttöön jokseenkin samaa käyttötarkoitusta varten (https://itarmy.com.ua).

Ryhmä reagoikin nopeasti esimerkiksi havaitessaan tiettyjen kohteiden ottaneen DDoS-suojauksen käyttöön, ja ohjeistaa tapoja kiertää niitä tai yksinkertaisesti vaihtamaan suojattomampiin kohteisiin. Toiminta on myöskin maailman tapahtumiin nähden koordinoitua. Tästä esimerkkinä on hyökkäyksien kohdistaminen Venäjällä toimivaan Mir-maksupalveluun välittömästi, kun Visa ja Mastercard ilmoittivat toimintojensa alasajosta Venäjällä.

Ryhmän kohteeksi voi joutua myös ulkomaisia yrityksiä. Esimerkiksi McDonalds sai osansa, kun tämän katsottiin viivyttelevän irtaantumista Venäjän markkinoilta.

Ryhmän seuraaminen voikin toimia myös suomalaisille organisaatiolle hyvänä tiedustelutiedon lähteenä, sillä oman tai yhteistyöorganisaation päätyminen kohdelistalle voi vaatia vain yhtä negatiivista uutista liittyen kytkökseen Venäjän hallintoon – jos sitäkään.

Suositellut

Uusimmat