Tietoturva Nyt!
Bulletproof Hosting (BPH) termillä viitataan toimijoihin, jotka tarjoavat rikollisille tai muille haitallisille toimijoille verkkopalveluita, joihin puuttuminen viranomaistoimin on haastavaa. Tällaiset palveluntarjoajat eivät aktiivisesti puutu käyttäjien rikolliseen toimintaan, kuten haittaohjelmien levitykseen, roskapostin lähettämiseen tai huijaussivustojen ylläpitoon. BPH-palvelut toimivat usein maissa, joissa kansainvälisiä oikeuskäytäntöjä valvotaan ja noudatetaan väljästi. Kyberturvallisuuskeskus kehittää aktiivisesti toimia ilmiön rajoittamiseksi viranomaisten ja operaattoreiden kanssa. Ilmiön rajoittaminen kuitenkin vaatii, että kaikki kyberekosysteemin toimijat huomioivat ilmiön toiminnassaan.
Mistä Bulletproof Hosting -ilmiössä on kysymys?
Bulletproof Hosting -termillä viitataan verkkopalveluntarjoajiin, jotka eivät puutu asiakkaidensa laittomaan tai haitalliseen toimintaan, kuten haittaohjelmien levitykseen, roskapostiin, tietojenkalasteluun tai huijaussivustoihin. Bulletproof Hosting -palveluita ja muuta haitallista toimintaa mahdollistaviin tahoihin voidaan viitata myös yleisesti termillä Threat Activity Enabler (TAE). Esimerkkinä BPH-toimijasta voidaan pitää kiristyshaittaohjelmia palveluina tarjoavan (RaaS - Ransomware as a Service) Lockbitin tytäryhtiöiden käyttämää Zservers-yritystä, jonka toimintaa eri maiden viranomaiset ovat useaan otteeseen yrittäneet ajaa alas.
Yksinkertaisesti sanottuna BPH-palveluntarjoajat tarjoavat virtuaalista ja/tai fyysistä infrastruktuuria, josta käsin kyberrikolliset voivat toimia. Esimerkiksi kiristyshaittaohjelmatapauksissa hyökkääjät käyttävät BPH-palveluja vuotosivustostojen (data leak sites, DLS) alustoina. Nämä alustat on usein peitetty myös verkkosivustojen sijainteja anonymisoivan TOR-verkon avulla.
Verkkoalustan lisäksi haitalliseen kybertoiminnan mahdollistamiseen tarvitaan myös teleoperaattori (internet service provider, ISP). BPH -toimijat pyrkivät jatkuvasti löytämään uusia operaattoreita ja toimintaan soveltuvia verkkoavaruuksia.
Teleoperaattori ei aina välttämättä ole tietoinen siitä, että välittää haitalliseen toimintaan liittyvää liikennettä. Teleoperaattorien kynnys puuttua asiakkaidensa mahdollisesti lainvastaiseen toimintaan on alustapalveluita korkeampi. Niidenkin joukossa on kuitenkin BPH-toimijoita.
Rahaliikenteen seuranta ja estäminen on yksi tehokas keino puuttua rikolliseen toimintaan. Bulletproof Hosting -palveluiden maksuliikennettä voidaan tämän vuoksi pyrkiä peittelemään esimerkiksi virtuaalivaluuttojen käytön avulla.
Käytännössä yllä kuvattu BPH -palvelujen kokonaisuus mahdollistaa sen, että kyberrikolliset voivat toimia tarjotulla alustalla ilman, että kukaan toimintaan liittyvistä palveluntarjoajista irtisanoo heidän sopimuksensa lainvalvonnan tai muiden pyyntöjen perusteella.
Miksi toimintaan on haastavaa puuttua?
Palveluntarjoajat toimivat usein alueilla, joilla lainvalvontaviranomaisilla voi olla vähemmän kiinnostusta tai vain vähän resursseja tutkia ilmiöön liittyvää toimintaa. Lisäksi BPH-palveluntarjoajat käyttävät erilaisia monimutkaisia teknisiä järjestelyjä vaikeuttaakseen poisto- ja väärinkäyttöpyyntöjen toteutusta.
Puuttumista tapauksiin monimutkaistaa myös se, että BPH-palveluntarjonta on monimuotoistunut. Hajautettujen palveluiden seuranta ja alasajo voi olla entistä vaikeampaa. Tyypillisesti BPH-toiminnassa käytetään myös pitkiä alihankintaketjuja.
Bulletproof Hosting -ilmiön rajoittaminen vaatii yhteistyötä
Rikollinen toiminta bulletproof hosting -palveluiden avulla on vaikeutunut, koska viranomaisten ja yksityisen sektorin maailmanlaajuinen yhteistyö pyrkii puuttumaan siihen jatkuvasti. Palvelujen alasajot aiheuttavat rikollisille kustannuksia, koska he joutuvat pystyttämään uutta infrastruktuuria paljastuneen tai poistuneen tilalle. Jos palveluita saadaan lainvalvontaviranomaisten haltuun, voidaan sieltä löytää arvokkaita todisteita rikollisesta toiminnasta.
Kyberturvallisuuskeskukset (CERT-toimijat) ja vastuullisesti toimivat operaattorit pyrkivät tunnistamaan verkkoresursseja, joita käytetään selvästi haitalliseen toimintaan. Selvästi haitalliseen toimintaan käytettyjä resurssien käyttöä pyritään estämään esimerkiksi reititysrajoituksilla, jos yhteydenotto operaattoriin ei tuota tulosta.
Eräs merkittävä reagointitaktiikka BPH-toimintaan on palveluntarjoajiin kohdistetut sanktiot. Esimerkiksi EU on asettanut taloudellisia pakotteita Stark Industries Solutionsille, jonka BPH-palvelu perustettiin kaksi viikkoa ennen Venäjän hyökkäystä Ukrainaan. Alustalla oli merkittävä rooli Venäjään liitetyissä kyberhyökkäyksissä ja disinformaatiokampanjoissa. Lisäksi Yhdysvaltojen valtiovarainmisteriö asetti heinäkuussa pakotteita BFH-palveluita tarjoavaa Aeza Group -palveluntarjoajaa kohtaan. Pietarissa Venäjällä pääkonttoriaan pitävä Aeza Group on tarjonnut BPH-palveluita kiristyshaittaohjelmia ja haittaohjelmia levittävien ryhmien, kuten Meduza ja Lumma, käyttöön.
Verkkoliikenteen rajoittamisen, takavarikkojen, alasajojen ja pakotteiden ohella BPH-toimintaan voidaan vaikuttaa sääntelyllä. Esimerkiksi EU:n digipalveluasetuksen (DSA, Digital Services Act) puitteissa alustapalveluilla on velvollisuus reagoida heille ilmoitettuun laittomaan sisältöön.
Kyberturvallisuuskeskuksessa kehitetään tällä hetkellä esimerkiksi haitalliseen verkkoliikenteeseen ja -toimintaan liittyvää sulkupyyntöprosessia. Tavoitteena on kyetä vastaamaan BPH-toimintaan muun muassa alasottamalla entistä tehokkaammin haitallisia FI-verkkotunnuksia sekä tarjoamalla suodatussuosituksia verkkopalveluntarjoajille.
Tietoisuuden lisääminen BPH-toiminnasta on tärkeää palveluntarjojien lisäksi myös alustoja käyttäville yrityksille. Osa palveluntajoajista pyrkii toimimaan harmaalla alueella ja houkuttelemaan asiakkaikseen myös tavallisia yrityksiä. Niiden asiakkaat saattavat tulla rahoittaneeksi rikollista toimintaa, ja palveluntarjoajan päätyminen pakotteiden tai alasajon kohteeksi on yritykselle merkittävä liiketoimintariski.