Psykoterapiakeskus Vastaamon tietomurrosta epäilty mies kytkettiin tietomurtoon muun muassa hänen hotellivaraustensa avulla, selviää keskusrikospoliisin (KRP) esitutkinnasta. Esitutkinta tuli julkiseksi tänään.
Esitutkinnan mukaan epäilty Aleksanteri Kivimäki yöpyi Helsingissä hotelli Kämpissä muutaman kerran vuosina 2019–2020.
KRP:n mukaan Kivimäki ilmoitti hotellille puhelinnumeron, sähköpostin sekä postiosoitteen. Muun muassa nämä tiedot on KRP:n esitutkinnassa saatu kytkettyä Vastaamon tietomurron muuhun tietotekniseen näyttöön.
Yksi hotellivarauksista oli myös tehty IP-osoitteesta, josta oli KRP:n mukaan oltu yhteydessä tietomurtoon liittyviin palvelimiin. Kuulusteluissa Kivimäki väitti, että hotellivaraukset teki joku muu kuin hän itse.
Kivimäkeen ja Vastaamo-tietomurtoon yhdistettyä IP-osoitetta käytettiin KRP:n mukaan myös esimerkiksi Onlyfans-tilausten tekemiseen.
IP-osoite yhdistyi myös Kivimäen julkaisemaan viestiin keskustelufoorumi Ylilaudalla. Kivimäki julkaisi palvelussa valokuvan, jossa näkyi hänen kätensä. KRP tunnisti kuvasta Kivimäen sormenjäljen
Kyseinen IP-osoite vei KRP:n tutkimuksissa Iso-Britanniaan. Kivimäki kertoi kuulusteluissa itse, että on asunut maassa ja että hänen asunnossaan oli kyseisen palveluntarjoajan internetliittymä. Myös palveluntarjoaja kertoi KRP:lle, että Kivimäki on ollut heidän asiakkaanaan.
Kivimäki silti väitti, että kyseinen IP-osoite olisi voinut olla jonkin VPN-palvelun osoite, ja että osoitteella olisi muitakin käyttäjiä.
KRP:n selvityksen mukaan kyseinen IP ei kuitenkaan ole minkään VPN-palveluntarjoajan osoite.
Emämunaus
KRP:n esitutkintamateriaalista selviää myös, että alun perin poliisi pääsi Kivimäen jäljille Vastaamo-murtautujan tekemän kardinaalivirheen johdosta.
Vastaamon kriittiset asiakastiedot varastettiin yrityksen palvelimilta vuonna 2018.
Syksyllä 2020 murtautujan oli tarkoitus julkaista osa Vastaamon varastetuista asiakastiedoista pimeässä TOR-verkossa ja ryhtyä kiristämään yrityksen asiakkaita uusien tietojen julkaisun uhalla.
Kiristäjä kuitenkin teki pahan virheen ja siirsi verkkoon vahingossa kiristyksessä käyttämänsä virtuaalipalvelimen kotihakemiston. Palvelimen nimi oli OPSVM.
Virhe tapahtui, kun kiristäjä yritti ajastaa asiakastietoja sisältävän tiedoston julkaisun automaattiseksi. Sen sijaan kiristäjä ajastikin koko OPSVM-palvelimen sisällön julkaistavaksi.
TOR-verkkoon lipsahti suuri tiedostopaketti, joka sisälsi kiristyksessä käytetyn palvelimen yksityisiä tiedostoja.
Kiristäjä huomasi virheensä vasta jonkin ajan kuluttua, ja suuri määrä TOR-verkon käyttäjistä ennätti ladata osia tiedostopaketista ennen kuin se poistettiin verkosta.
Jäljet veivät Tuusulaan
Esitutkinnassa myös KRP pääsi käsiksi tähän tar-tiedostopakettiin tai sen osiin.
KRP:n esitutkinnan mukaan poliisi sai tiedostopaketista löytyneiden tiedostojen ja johtolankojen avulla selville, että Vastaamo-kiristys oli tehty Tuusulassa sijaitsevasta palvelinsalista vuokrattuja palvelimia hyväksi käyttäen.
Kun palvelinsalista takavarikoitiin kolme palvelinta, KRP sai edelleen selville, että palvelimilta oli yhteyksiä 17 muulle palvelimille. Myös nämä palvelimet olivat suurimmilta osin Tuusulassa. Kaksi sijaitsi Saksassa.
Yhdeltä Saksassa sijaitsevalta palvelimelta löydettiin varmuuskopio Vastaamo-kiristyksessä käytetystä OPSVM-palvelimesta. Palvelimen vuokra oli maksettu Aleksanteri Kivimäen maksukortilla.
KRP:n mukaan Kivimäki on saatu esitutkinnassa kytkettyä palvelimiin muillakin tavoilla.
Palvelimilla on ollut myös muita käyttäjiä, mutta KRP:n esitukinnan perusteella vain Kivimäkeä epäiltiin osallisuudesta Vastaamon tietomurtoon ja kiristykseen.
KRP:n mukaan alun perin takavarikoituja kolmea palvelinta on selvästi käytetty rikollisiin tarkoituksiin. 17 muuta palvelinta ovat olleet Kivimäen ja hänen tuttaviensa yrityksen käytössä. Kivimäki on itse maksanut palvelimien vuokraamisesta.
Kertoi olevansa toimitusjohtaja
Esitutkinnan mukaan Kivimäen ja hänen kumppaneidensa yrityksen tarkoituksena oli tehdä riskiarviointia vakuutusyhtiöille, jotka myyvät kybervakuutuksia yrityksille.
Käytännössä ajatuksena oli, että yritys skannaisi verkkoavaruutta ja etsisi haavoittuvuuksia yritysten käyttämistä verkkolaitteista ja -sovelluksista.
Yritysideana oli myydä kerättyjä tietoja vakuutusyhtiöille, jotta ne voisivat arvioida riskejään sekä seurata, kuinka hyvin yritykset hallitsevat tietoturvan.
Kivimäki kertoi olevansa yrityksen toimitusjohtaja.
KRP:n esitutkinnan perusteella yritystoiminta vaikuttaisi jääneen lähinnä idean asteelle.
KRP:n esitutkinnasta käy myös ilmi, että Vastamon tietomurtoon liittyen poliisi on todennäköisesti ollut Kivimäen jäljillä jo esitutkinnan alkuvaiheilta saakka.
Esitutkinnan laajuudesta päätellen KRP on kuitenkin joutunut näkemään suuresti vaivaa siihen, että se löytää Tuusulan palvelimien johtolankojen lisäksi tarpeeksi muuta näyttöä, joka kytkisi Kivimäen tapaukseen.
Tänään julkiseksi tullut esitutkintapöytäkirja on massiivinen. KRP:n kasaamassa asiakirjassa on yli 2000 sivua ja sen liitteissä vielä satoja lisää.