Μια κλήση για περιστατικό ενδοοικογενειακής βίας, στις 3 Φεβρουαρίου 2024, έφερε την αστυνομία της Φινλανδίας σε ένα διαμέρισμα στη Λα Ντεφάνς στο Παρίσι, να ελέγχει το ρουμανικό διαβατήριο του Ασάν Αμέτ. Αλλά ο δίμετρος, ξανθός γαλανομάτης, με ροδαλά μάγουλα άντρας που είχαν μπροστά τους δεν έμοιαζε, ούτε μιλούσε και πολύ σαν Ρουμάνος, σκέφτηκαν οι αστυνομικοί και εξέτασαν ξανά τα στοιχεία. Ελέγχοντας μια λίστα με τους πιο καταζητούμενους φυγάδες της Europol, αποδείχτηκε ότι το «Ασάν Αμέτ» ήταν γνωστό ψευδώνυμο για τον Φινλανδό χάκερ Aleksanteri Kivimäki. Οι αστυνομικοί τον συνέλαβαν.
Ο Kivimäki, μόλις στα 20 του, ήταν διασημότητα στους παγκόσμιους κύκλους hacking για μια δεκαετία. Είχε αποκτήσει φήμη για το ταλέντο και την ευρηματικότητά του. Χρόνια νωρίτερα είχε καταδικαστεί για μια σειρά από παραβιάσεις δεδομένων υψηλού προφίλ και εκστρατείες παρενόχλησης που χρονολογούνται από την πρώιμη εφηβεία του. Η τελευταία υποτιθέμενη κυβερνοεπίθεσή του, ωστόσο, τους επισκίασε. Μετρώντας τον αριθμό των θυμάτων, ήταν το μεγαλύτερο έγκλημα στην ιστορία της Φινλανδίας. Ο Kivimäki κατηγορήθηκε για πειρατεία και απόπειρα εκβίασης μιας εθνικής αλυσίδας κλινικών ψυχοθεραπείας και ότι δημοσίευσε στο διαδίκτυο μια συλλογή δεδομένων ασθενών. Μαζί με τυπικό υλικό απάτης ταυτότητας - αριθμούς κοινωνικής ασφάλισης, αριθμούς τηλεφώνου, κατοικίες και διευθύνσεις ηλεκτρονικού ταχυδρομείου - τα αρχεία περιελάμβαναν τα πιο απόκρυφα μυστικά δεκάδων χιλιάδων ανθρώπων, επιθυμίες και πράξεις και αναμνήσεις. Το αποτέλεσμα ήταν ένα εθνικό τραύμα που ένας εξέχων Φινλανδός πολιτικός παρομοίασε με τρομοκρατική επίθεση.
Καθ' όλη τη διάρκεια της δίκης του, από τον περασμένο Νοέμβριο έως τις αρχές Μαρτίου, ο Kivimäki διατήρησε τη γραμμή του περί αθωότητας. Υποστήριξε ότι οι ανακριτές και οι εισαγγελείς τον ξεχώρισαν από άλλους πιθανούς υπόπτους λόγω της φήμης του και όχι λόγω των αποδεικτικών στοιχείων. «Λένε, 'Λοιπόν, ξέρουμε έναν από αυτούς τους τύπους. Τον έχουμε ερευνήσει στο παρελθόν, είναι από τη Φινλανδία - ΟΚ, αυτός ο τύπος το έκανε'», ισχυρίζεται.
Όποιος διέπραξε την επίθεση, ωστόσο, δούλευε βάσει οδηγιών που είχε γράψει πρώτος ο Kivimäki. Το έγκλημα στον κυβερνοχώρο είναι μια επιχείρηση, που ασκείται στο υψηλότερο επίπεδο από ανώνυμες συμμορίες που καλλιεργούν έναν αέρα επαγγελματισμού - χρειάζονται να πιστέψεις ότι αν πληρώσεις τον εκβιαστή, θα καταφέρεις να δεις το τέλος του. Και η συντριπτική τους πλειοψηφία δεν πιάνεται ποτέ. Αλλά αυτό το μοντέλο υπάρχει σε αντιδιαστολή προς ένα πιο νεανικό γκρουπ που μετρά την επιτυχία από την άποψη του σοκ και της φήμης. Ο συνδυασμός των δύο, όπως προσπάθησε να κάνει ο Kivimäki σε διάφορα σημεία της καριέρας του, προσφέρει την προοπτική τόσο της φήμης όσο και του πλούτου. Αλλά δημιουργεί επίσης ένα εύφλεκτο μείγμα.
Το ξεκίνημα στη Φινλανδία
Ο Kivimäki μεγάλωσε στο Εσπόο στα δυτικά του Ελσίνκι και ρχισε να παίζει με τον οικογενειακό υπολογιστή σε ηλικία 3 ετών. Στα εφηβικά του χρόνια είχε ήδη δημοφιλία, με ψευδώνυμα όπως το «zeekill», στα φόρουμ Internet Relay Chat που λειτουργούσαν ως πρωτοκοινωνικά μέσα για τους χάκερ όσους του μιμούνταν. Ο Kivimäki δεν αποφοίτησε από το γυμνάσιο ούτε πήγε στο κολέγιο.
Ένα από τα φόρουμ του IRC στα οποία σύχναζε ο Kivimäki ήταν για μια ομάδα που ονομάζεται Hack the Planet. Τα μέλη του φόρουμ εισέβαλαν σε εταιρικά δίκτυα, κατά προτίμηση σε τεχνολογικούς γίγαντες ή εταιρείες κυβερνοασφάλειας, και δημοσίευαν ό,τι έβρισκαν. Αν και χαρακτηρίστηκαν «απλώς παιδιά που έπαιζαν τριγύρω», όπως λέει σήμερα ο Kivimäki, αυτές οι ομάδες έσπευσαν να επισημάνουν ότι υπήρχε κοινωνικό όφελος από την αποκάλυψη των αδυναμιών ασφάλειας στα αξιόπιστα ψηφιακά συστήματα, καθώς ώθησε όσους τα προστατεύουν να ντραπούν και να κάνουν καλύτερη δουλειά. Οι εταιρείες τεχνολογίας άρχισαν να πληρώνουν «επιβραβεύσεις σφαλμάτων» με δεκάδες χιλιάδες δολάρια σε χάκερ που τους ειδοποίησαν για τέτοια τρωτά σημεία.
Ο εμμονικός Φινλανδός
Γύρω στο 2011, όταν ο Kivimäki έκλεισε τα 14, αυτός και ένας Αμερικανός έφηβος με το όνομα Blair Strater είχαν μια έντονη διαφωνία σχετικά με το ποιος ιστότοπος θα ήταν το επόμενο θύμα τους. Τα πράγματα κλιμακώθηκαν, εξαπολύθηκαν διάφορες απειλές και εκδιώχθηκαν και οι δύο από την ομάδα. Αλλά δεν είχε τελειώσει εκεί. Ξεκίνησε με παραδόσεις πίτσας που αποδεικνύονταν φάρσα. Έπειτα έφτασε ένα φορτηγό με τρεις τόνους χαλίκι για να πετάξει στον οικογενειακό δρόμο. Το ίντερνετ του νοικοκυριού και το ηλεκτρικό ρεύμα έκλεισαν. Κάποια στιγμή, χάκερ κατέλαβαν τον επίσημο λογαριασμό της Tesla Inc. στο Twitter, δημοσίευσαν τους αριθμούς τηλεφώνου και τη διεύθυνση των Straters και είπαν ότι όποιος τηλεφωνούσε ή εμφανιστεί στο σπίτι του θα έπαιρνε ένα δωρεάν αυτοκίνητο. Φυσικά το πράγμα ξέφυγε. Ο Strater άρχισε να δέχεται τακτικές τηλεφωνικές απειλές. Σε μια κλήση από το 2013, η ρομποτική φωνή ενός αυτόματου προγράμματος μετατροπής κειμένου σε ομιλία που ισχυριζόταν ότι ήταν ο Strater είπε ότι είχε δολοφονήσει την κοπέλα του και σχεδίαζε να σκοτώσει τους γονείς του και να «ανατινάξει όλο το μπλοκ». Ο Strater πέρασε τρεις εβδομάδες υπό κράτηση ανηλίκων, αφού μια διεύθυνση ηλεκτρονικού ταχυδρομείου που περιείχε ένα από τα διαδικτυακά του ονόματα χρήστη έστειλε απειλή για βόμβα σε έναν ντετέκτιβ της τοπικής αστυνομίας. Η μητέρα του, βιοστατίστρια, έχασε τη δουλειά της αφού οι λογαριασμοί της στα μέσα κοινωνικής δικτύωσης παραβιάστηκαν και στη συνέχεια γέμισαν με ρατσιστικές, αντισημιτικές ατάκες.
Ήταν μόνο ένα από τα έργα του Kivimäki εκείνη την εποχή. Είχε βρει μια νέα ομάδα συνεργατών, πολλοί από τους οποίους συγκεντρώθηκαν στο Darkode, μια διαδικτυακή αγορά για κακόβουλο λογισμικό, κλεμμένα δεδομένα και υπηρεσίες εισβολής. Ο ένας ήταν ο Vinnie Omari, ένας Βρετανός στα 20 του. Ο Kivimäki και ο Omari έκαναν παρέα μερικές φορές, το μεγαλύτερο μέρος της σχέσης τους, ωστόσο, ήταν online, όπου περνούσαν ώρες παίζοντας μαζί World of Warcraft και League of Legends. Ο Kivimäki είχε μια εμμονική πλευρά, λέει ο Omari.
Οι Αρχές μαθαίνουν για τον Φινλανδό χάκερ
Σε αυτό το σημείο, πολλές υπηρεσίες επιβολής του νόμου έμαθαν για τον Kivimäki. Στα τέλη του καλοκαιριού του 2013, πέταξε στο Λας Βέγκας για να παρακολουθήσει το συνέδριο για την ασφάλεια στον κυβερνοχώρο. Πράκτορες του FBI χτύπησαν την πόρτα. Οι πράκτορες πήραν εν συντομία συνέντευξη από τον Kivimäki, του πήραν το laptop και του είπαν, λέει, «να μην επιστρέψει ποτέ σε αυτή τη χώρα». Πείστηκε ότι κάποιος στο HTP συνεργαζόταν με το FBI.
Λίγες εβδομάδες αργότερα, στις 23 Σεπτεμβρίου 2013, ο Kivimäki βρισκόταν στο σπίτι του στο Εσπόο με τον υπολογιστή του, με τους γονείς του έξω, όταν έφτασαν αστυνομικοί του Ελσίνκι με ένταλμα έρευνας. Το όνομά του είχε αναφερθεί σε μια υπό εξέλιξη υπόθεση εγκλήματος στον κυβερνοχώρο. Ο Kivimäki τέθηκε υπό κράτηση, μαζί με τον υπολογιστή του, έναν επιτραπέζιο υπολογιστή Acer Aspire. Αυτό που βρήκε η αστυνομία σε αυτό αποδείχθηκε ότι δεν είχε καμία σχέση με την άλλη υπόθεση που ερευνούσε. Ωστόσο, είχε στοιχεία για πολλά άλλα εγκλήματα. Πεπεισμένος ότι ο Kivimäki θα μπορούσε να καταστρέψει αποδεικτικά στοιχεία ή ακόμα και να συνεχίσει την εγκληματική του δραστηριότητα αν αφεθεί ελεύθερος, ένας δικαστής τον έβαλε στη φυλακή.
Κατά τη διάρκεια του επόμενου έτους, ο Kivimäki είχε πολλές συναντήσεις με την αστυνομία. Πέρασε πολλές εβδομάδες στη φυλακή. Τον Ιούλιο του 2015, ένα φινλανδικό περιφερειακό δικαστήριο καταδίκασε τον Kivimäki για ξέπλυμα βρώμικου χρήματος, πολλαπλές κατηγορίες για απάτη, διαδικτυακό εκφοβισμό και 50.700 σοβαρές παραβιάσεις δεδομένων. Εκτός από τις εισβολές του Χάρβαρντ και του ΜΙΤ, βρέθηκε ότι είχε αποθηκεύσει και χρησιμοποιούσε κλεμμένες πληροφορίες πιστωτικών καρτών. Αλλά επειδή είχε διαπράξει τα εγκλήματα ως ανήλικος, η ποινή ήταν επιεικής, ακόμη και για τα φινλανδικά πρότυπα. Το κράτος κράτησε τον υπολογιστή του Acer και τον ανάγκασε να χάσει 6.588,88 ευρώ. Του επιβλήθηκε ποινή φυλάκισης με αναστολή και ήταν ελεύθερος να φύγει.
Ο Kivimäki άλλαξε το βιογραφικό του στο Twitter σε «Άθικτος θεός χάκερ». Έφυγε από τη Φινλανδία για να ζήσει στη Βαρκελώνη και μετά στο Λονδίνο, όπου νοίκιασε ένα ζευγάρι πολυτελών διαμερισμάτων για την κοπέλα του και για τον εαυτό του - ένα στο Γουέστμινστερ ακριβώς στη γωνία από τα κεντρικά γραφεία της υπηρεσίας κατασκοπείας MI5. Ταξίδεψε στο Ντουμπάι, το Χονγκ Κονγκ, την Τσεχία και τη Ρουμανία. Επισκέφτηκε το Νεπάλ και τις γαλλικές Άλπεις. Κάποια στιγμή παντρεύτηκε.
Λίγο λιγότερο από πέντε χρόνια μετά την πρώτη του καταδίκη, ο Kivimäki πήγε ξανά σε δίκη, αυτή τη φορά για τις εκστρατείες παρενόχλησης. Τον Ιούνιο του 2020, ο Kivimäki κρίθηκε για άλλη μια φορά ένοχος, έλαβε άλλη μια ποινή φυλάκισης με αναστολή και κλήθηκε να καταβάλει πληρωμές αποζημίωσης συνολικού ύψους πολλών χιλιάδων δολαρίων.
Το μεγαλύτερο έγκλημα της Φινλανδίας
Το απόγευμα της 28ης Σεπτεμβρίου 2020, μια Δευτέρα, ο Ville Tapio βρισκόταν στο σπίτι και έβλεπε το ηλεκτρονικό ταχυδρομείο της ημέρας. Την εποχή εκείνη ήταν ο διευθύνων σύμβουλος του μεγαλύτερου παρόχου υπηρεσιών ψυχοθεραπείας της Φινλανδίας, μιας εταιρείας που ονομαζόταν Vastaamo.
Διαβάζοντας τα email του εκείνο το βράδυ της Δευτέρας, ο Tapio τρόμαξε όταν είδε ότι ένα από αυτά ήταν ένα σημείωμα για λύτρα. Ο αποστολέας παρουσιάστηκε, στα φινλανδικά, ως χάκερ και ισχυρίστηκε ότι είχε κλέψει τη βάση δεδομένων ασθενών του Vastaamo. Το υπόλοιπο email ήταν στα αγγλικά. «Οποιοδήποτε τίμημα θα μας πληρώσετε θα είναι μικρό σε σύγκριση με τη ζημιά που θα προκληθεί στην επιχείρησή σας εάν δημοσιεύσουμε αυτές τις πληροφορίες στο Διαδίκτυο», έγραφε και έκλεισε με μια πιο σχολαστική, πρωτοπρόσωπη φωνή: «Αν έχετε οποιεσδήποτε ερωτήσεις ή δυσκολία να κατανοήσετε τι συμβαίνει, είμαι εδώ για να σας βοηθήσω». Κοιτώντας καλύτερα ο Tapio παρατήρησε ότι αν και γινόταν προσπάθεια επ' αυτού, ο αποστολέας φάνηκε ότι ήθελε να πείσει πως χρησιμοποίησε Google Translate για τα φινλανδικά, όμως γνώριζε τη γλώσσα.
Αφότου ο Tapio, μαζί με άλλους δύο στους οποίους απεστάλη επίσης η λίστα, επιβεβαίωσε την αυθεντικότητά της, κάλεσε μια εταιρεία κυβερνοασφάλειας, την Nixu. Ένας από τους κύριους ερευνητές εκεί ήταν ο Antti Kurittu, ο οποίος είχε φύγει από την αστυνομία του Ελσίνκι λίγα χρόνια νωρίτερα. Η ομάδα του άρχισε να εργάζεται για να προσδιορίσει πώς είχε συμβεί η παραβίαση. Συνέδεσε επίσης την εταιρεία με τη φινλανδική NBI, η οποία ανέλαβε τις διαπραγματεύσεις για τα λύτρα. Κατόπιν οδηγιών ο Tapio είπε ότι δεν διαπραγματεύεται με εγκληματίες και απείλησε ότι αν δημοσιευθεί η λίστα θα επέλθει δίωξη. Η απάντηση ήρθε στα αγγλικά, όπου ο δράστης έλεγε πως θα είναι ακόμα μεγαλύτερη αποτυχία το να δημοσιευθεί η λίστα και ζητούσε 40 Bitcoin (περί τα 430.000 δολάρια εκείνη την εποχή).
Φυσικά η έρευνα αποκάλυψε ότι τα επίπεδα κυβερνοασφαλείας της Vastaamo ήταν αν όχι γελοία, τουλάχιστον προϊόν τεμπελιάς.
Η διαρροή αρχείων των Φινλανδών ασθενών και το λάθος
Αρχικά του έστειλαν e-mail κάνοντας επίκληση στο συναίσθημα να μην το κάνει. Μετά του έστειλαν 0,1 Bitcoin. Και μετά σιωπή. Ο δράστης απάντησε μέσω του Dark Web, ότι έτσι δεν γίνεται δουλειά και ανακοίνωσε ότι δημοσίευσε 100 φακέλους ασθενών υπό το ψευδώνυμο ransom_man. Θα ακολουθούσε δημοσίευση 100 φακέλων κάθε μέρα μέχρι να πληρωθούν τα λύτρα. Αν παρέμεναν στο Dark Web ίσως και να μην υπήρχε μεγάλη ανησυχία για τη Vastaamo. Όμως λίγο αργότερα εμφανίστηκαν στο Reddit.
Την Τρίτη μέρα η Nixu εντόπισε την τρίτη διαρροή 100 φακέλων. Όμως λίγο αργότερα επήλθε το σοκ. Όλοι οι φάκελοι, 300.000 ασθενών ήταν στο διαδίκτυο! Επικράτησε πανικός στη Φινλανδία, καθώς όλοι ήξεραν κάποιον του οποίου τα δεδομένα ήταν δημοσιευμένα. Αν ο στόχος ήταν να σοκάρει και να φρικάρει το έθνος, το ransom_man είχε πετύχει.
Αν σκόπευε να το κάνει αυτό τότε ο ransom_man γιατί ζήτησε λύτρα; Πλέον δεν θα λάμβανε κάτι. Και τότε ο Kurittu κατάλαβε. Ο ransom_man είχε κάνει λάθος. Λίγες ώρες μετά την εμφάνιση του αρχείου των 10,9 gigabyte, εξαφανίστηκε με ένα αναιδές μήνυμα, «whoopsie :D». Μέχρι τότε, ωστόσο, πολλοί ερευνητές είχαν κατεβάσει τουλάχιστον ένα μέρος του, και εξετάζοντας επιμελώς το ιστορικό εντολών, η ομάδα του NBI ανέπτυξε μια πιο ξεκάθαρη εικόνα του τι είχε συμβεί. Ο εκβιαστής, αφού ανέβασε με μη αυτόματο τρόπο τις πρώτες τρεις παρτίδες πληροφοριών για τον ασθενή, είχε βάλει στόχο να αυτοματοποιήσει τη διαδικασία. Αλλά είχε γράψει τις εντολές ατημέλητα.
Ο Kurittu παρατήρησε ότι πολλά από τα ονόματα των αρχείων ήταν άσεμνα ή προσβλητικά και ένα από αυτά αναφερόταν στο ColdFusion. Του υπενθύμισε την επιφάνεια εργασίας της Acer που είχε εξετάσει επτά χρόνια νωρίτερα. «Ξέρω μόνο έναν τύπο που ονομάζει αρχεία έτσι», θυμάται να σκέφτεται. Στη συνέχεια ο ransom_man άρχισε να εκβιάζει έναν έναν τους ασθενείς για μικροποσά, για να μη δημοσιευθεί ο φάκελός τους. Βέβαια δεν πρόλαβε, καθώς τα στελέχη την NBI, ένωσαν τα κομμάτια και άρχισαν να κατάσχουν διακομιστές, κλείνοντας σιγά σιγά την πρόσβαση του ransom_man στα δεδομένα. Εν τω μεταξύ η φινλανδική κυβέρνηση έσπευσε να κλείσει το νομικό κενό. Άλλαξε τη νομοθεσία, επέβαλε πρόστιμο 600.000 ευρώ στη Vastaamo. Η εταιρεία όμως είχε κηρύξει πτώχευση.
Το τέλος του Φινλανδού χάκερ και η απόγνωση των ασθενών
Τίποτα από αυτά δεν θα επιστρέψει σε κανένα από τα θύματα τα μυστικά του. Από την παραβίαση, αντίγραφα της βάσης δεδομένων ασθενών εμφανίστηκαν σε ιστότοπους κοινής χρήσης αρχείων. Για τους ανθρώπους που είναι ήδη επιρρεπείς στην κατάθλιψη ή το άγχος ή αντιμετωπίζουν τραύματα του παρελθόντος, η έκθεση και η αίσθηση ότι δεν θα τελειώσει ποτέ πραγματικά, έχει απλώς επιδεινώσει τα συμπτώματα που τους έφεραν στη Vastaamo εξαρχής. Αρκετοί σταμάτησαν τη θεραπεία.
Στις 29 Οκτωβρίου 2022, δύο χρόνια μετά την αποτυχημένη απόπειρα εκβιασμού, ο Φινλανδός εισαγγελέας Pasi Vainio υπέγραψε ένταλμα σύλληψης για τον Kivimäki. Με την υποψία ότι βρισκόταν ακόμα στο εξωτερικό, η φινλανδική αστυνομία τον έβαλε στη λίστα με τους πιο καταζητούμενους φυγάδες της Europol, δημοσιοποιώντας το όνομά του. Ο φινλανδικός Τύπος, ο οποίος κανονικά δεν δημοσιεύει τα ονόματα των υπόπτων, σε αυτή την περίπτωση έκανε δυνατά μια εξαίρεση. Ωστόσο, ο Kivimäki συνέχισε να ταξιδεύει σε όλη την Ευρώπη. Στα τέλη Φεβρουαρίου 2023, ο Kivimäki εκδόθηκε στη Φινλανδία και τοποθετήθηκε στη φυλακή Vantaa, μισή ώρα βόρεια του Ελσίνκι.
Με λεπτομερή έρευνα οι διάφορες κινήσεις του Kivimäki συνδέθηκαν με αυτόν, όπως και η πληρωμή του 0,1 Bitcoin που είχε γίνει από τη Vastaamo. Πέρυσι, 13 Νοεμβρίου, στο ολοκαίνουργιο περιφερειακό δικαστήριο στην παλιά πόλη του, το Εσπόο, ξεκίνησε η τρίτη δίκη του Kivimäki. Οι κατηγορίες περιελάμβαναν «διακεκριμένη διάρρηξη υπολογιστή», διάδοση προσωπικών πληροφοριών, 20 περιπτώσεις εκβιασμού (για τους λίγους ασθενείς που πλήρωσαν μάταια λύτρα) και 21.316 κατηγορίες απόπειρας εκβιασμού.
Η δίκη έκλεισε στις 8 Μαρτίου και εκκρεμεί απόφαση. Ένα από τα θύματα, δασκάλα δημοτικού σχολείου και νεαρή μητέρα, ήρθε στο δικαστήριο μια εβδομάδα πριν από το τέλος της δίκης για να διαβάσει μια δήλωση που είχε γράψει. «Πολλά από τα θύματα ήταν στο πιο σκοτεινό σημείο της ζωής τους εκείνη την εποχή», είπε. «Η παραβίαση δεδομένων το έκανε ακόμη χειρότερο». Η ανακοίνωση της ποινής του Kivimäki αναμένεται στις 30 Απριλίου.
Με πληροφορίες από Bloomberg
