SUPO: Venäjä hakkeroi suomalaisten kotireitittimiä vakoiluun

Venäjän sotilastiedustelu GRU:n hakkeriyksikkö Forest Blizzard (tunnetaan myös nimillä APT28 ja Fancy Bear) mursi yli 18 000 kotireititintä 120 maassa vakoilukampanjassa, joka kohdistui hallituksiin, sotilasorganisaatioihin ja lainvalvontaviranomaisiin. Myös Suomessa sijaitsevia laitteita käytettiin hyökkäyksiin. FBI:n johtamaan Operation Masquerade -estoperaatioon osallistuivat suoraan Suojelupoliisi (SUPO) ja Traficomin Kyberturvallisuuskeskus. Operaatio paljastettiin huhtikuussa 2026.

Miten hyökkäys toimii

Venäläiset hyökkääjät käyttivät TP-Link- ja MikroTik-reitittimien tunnettua haavoittuvuutta (CVE-2023-50224), joka mahdollistaa salasanan varastamisen ilman tunnistautumista. Varsinaista haittaohjelmaa ei tarvittu — riitti, että reititin oli päivittämätön.

Hyökkäys eteni kolmessa vaiheessa:

1. Reitittimen haltuunotto. Hyökkääjä käytti haavoittuvuutta saadakseen pääsyn reitittimen asetuksiin.

2. DNS-asetusten muuttaminen. Reitittimen DNS-palvelimet vaihdettiin hyökkääjän hallitsemiin palvelimiin. Tämän jälkeen kaikki verkkosivupyynnöt kulkivat hyökkääjän kautta.

3. Tunnusten kaappaaminen. Kun käyttäjä kirjautui Microsoftin Outlook-palveluun, hyökkääjän palvelin kaappasi OAuth-tunnuksen kirjautumisen jälkeen — ohittaen monivaiheisen tunnistautumisen kokonaan.

Hyökkäyksen kohteena oli yli 200 organisaatiota ja 5 000 kuluttajalaitetta. Kohteisiin kuului hallituksia, sotilastahoja ja lainvalvontaviranomaisia.

Suomalainen kytkös

SUPOn mukaan suomalaisia reitittimiä käytettiin sekä hyökkäysten kohteina että välitysasemina venäläiselle vakoilulle. SUPO totesi tiedotteessaan: "Huonosti suojattu reititin voi mahdollistaa kybervakoilun omistajan tietämättä."

Viranomaiset ilmoittivat suomalaisille reitittimien omistajille, puhdistivat saastuneet laitteet ja estivät GRU:n pääsyn yhteistyössä laitteiden omistajien kanssa.

Kyberturvallisuuskeskus varoitti maaliskuussa 2026 myös erillisestä IPIDEA-välityspalveluverkosta, joka hyödyntää suomalaisten kotilaitteita. Suomessa havaittiin lähes 900 IPIDEA-havaintoa päivittäin. Vaikka IPIDEA on kiinalainen kaupallinen verkko eikä valtiollinen toimija, se käyttää samaa heikkoa kohtaa: päivittämättömiä kotireitittimiä.

Tunnistusmerkit

• Reititin toimii hitaasti ilman selvää syytä
• DNS-asetukset ovat muuttuneet (eivät osoita operaattorisi tai tunnettuun DNS-palvelimeen)
• Selain näyttää sertifikaattivaroituksia Microsoftin palveluissa
• Reitittimen hallintapaneeliin on kirjauduttu tuntemattomasta osoitteesta

Mitä tehdä

1. Päivitä reitittimen laiteohjelmisto välittömästi valmistajan sivuilta
2. Tarkista DNS-asetukset — niiden tulisi osoittaa operaattorisi DNS-palvelimeen tai tunnettuun palveluun (1.1.1.1, 8.8.8.8)
3. Älä koskaan avaa hallintapaneelia internetiin — vain lähiverkkoyhteys
4. Vaihda oletussalasana — monet reitittimet käyttävät edelleen tehtaan asetuksia
5. Vaihda reititin, jos valmistaja ei enää julkaise päivityksiä
6. Älä klikkaa sertifikaattivaroituksia ohi — tämä on tapa, jolla tunnusten varastaminen onnistuu

TP-Link-mallit, joihin haavoittuvuus vaikuttaa, ovat muun muassa WR841N, Archer C5, Archer C7, WDR-sarja ja MR6400.

Laajempi konteksti

Forest Blizzard on sama GRU-yksikkö, joka muun muassa hakkeroi Suomen eduskunnan sähköpostijärjestelmän vuonna 2020. SUPOn mukaan Venäjä ja Kiina ovat Suomen merkittävimmät kybervakoilun uhkat.

Operaatio Masquerade oli osa laajempaa kansainvälistä yhteistyötä, johon osallistui myös Iso-Britannian NCSC. Britannian viranomainen julkaisi huhtikuussa 2026 varoituksen, jossa listattiin yli 90 haitallista IP-osoitetta ja APT28:n kohteena olleita Outlook-osoitteita.

Tapaus osoittaa, että kotikäyttäjien laitteet voivat olla valtiollisen vakoilun välineitä ilman omistajan tietoa. Reitittimen päivittäminen ja oletussalasanan vaihtaminen ovat yksinkertaisia toimenpiteitä, jotka voivat estää vakavaa vahinkoa.