Venäläiset hakkerit ovat lisänneet alkuvuoden aikana toimintaansa erityisesti Tanskaa vastaan, mutta aktiivisuus voi kohdistua vaalien lähestyessä taas Ruotsiin ja Suomeen. Faktantarkistajien NORDIS-verkosto seurasi venäläisten “haktivistien” toimintaa useiden kuukausien ajan.
Viime vuonna Tanskan silloinen puolustusministeri Troels Lund Poulsen ilmoitti lehdistötilaisuudessa, että Venäjä on vastuussa “Tanskaa vastaan kohdistetuista tuhoisista ja häiritsevistä kyberhyökkäyksistä”.
Tuhoja aiheutui vuonna 2024 tanskalaisessa vesilaitoksessa, jonka ohjausjärjestelmään hakkerit pääsivät käsiksi. He nostivat vesilaitoksen vedenpainetta, mikä aiheutti useiden vesiputkien rikkoutumisen ja jätti asukkaat ilman vettä.
Häiritsevillä hyökkäyksillä ministeri taas viittasi palvelunestohyökkäyksiin, jotka kohdistuivat tanskalaisiin verkkosivustoihin ennen vuoden 2025 kunnallis- ja aluevaaleja ja estivät tilapäisesti pääsyn sivustoille.
Hyökkäyksistä olivat vastuussa venäläiset hakkeriryhmät Z-Pentest Alliance ja NoName057(16), joilla on Tanskan tiedustelupalvelun mukaan yhteyksiä Venäjän valtioon.
Ministeri Lund Poulsen muistutti lehdistötilaisuudessa, että emme ole sodassa mutta emme myöskään elä rauhan aikaa. Hyökkäykset ovat osa Venäjän hybridisotaa länsimaita vastaan.
Venäläisten hakkereiden toiminta ei rajoitu näihin kahteen ryhmään. Pohjoismaiden digitaalisen median ja informaatiohäiriöiden seurantakeskus NORDIS, jonka osana Faktabaari työskentelee, on viime kuukausina seurannut yli kahdenkymmenen Venäjää tukevan hakkeriryhmän toimintaa.
Seuranta on painottunut niin kutsuttuihin haktivisteihin, eli hakkereihin, joita näyttää ensisijaisesti motivoivan Venäjän hyökkäyssodan ideologinen tukeminen, ei taloudellinen voitontavoittelu kyberrikoksilla.
Keskeinen lähde seurannassa on ollut Telegram, jossa hakkerit rehentelevät hyökkäyksillään. Venäläisten hakkereiden kohteina ovat viime vuosina olleet myös Norja, Suomi ja Ruotsi.
Tanska ykköskohde Pohjoismaissa
NORDIS-verkoston seuraamat hakkeriryhmät kertovat hyökänneensä pelkästään vuonna 2026 Tanskaa vastaan 247 kertaa. Vaikka kaikki hyökkäykset eivät olisikaan onnistuneet, niitä on ollut selvästi enemmän Tanskassa kuin muissa Pohjoismaista.
Valtaosa hyökkäyksistä on verkkosivustoihin kohdistuvia DDoS-hyökkäyksiä (hajautettu palvelunestohyökkäys), jotka voivat estää tilapäisesti pääsyn sivustolle. Lisäksi hakkerit ovat onnistuneet pääsemään käsiksi erilaisiin valvontakameroihin ja jakaneet niistä otettuja kuvia ja videoita Telegramissa.
Kuva: Tanskalaisen faktantarkistustoimituksen TjekDetin julkaisu.
Tanskan valmiusministeriön alainen Resilienssivirasto arvioi, että hakkerit kohdistavat hyökkäyksensä usein viranomaisten verkkosivustoihin tai yrityksiin, joiden toiminta liittyy kriittiseen infrastruktuuriin. NORDIS-verkoston selvitys vahvistaa tämän johtopäätöksen.
Norjassa hyökkääjät saivat huhtikuussa 2025 verkon kautta pääsyn Risevatnetin kalankasvatuslaitoksen patoon Bremangerin kunnassa Norjan länsirannikolla.
Norjan poliisin järjestäytyneisiin ja vakaviin rikoksiin erikoistuneen yksikön (Kripos), mukaan hakkereilla oli pääsy padon ohjauspaneeliin kello 12.57-16.49. Näiden neljän tunnin aikana tekijät nostivat laitoksen veden virtausta, jolloin venttiilit päästivät ulos lähes 500 litraa vettä sekunnissa ennen kuin hyökkäys havaittiin ja pysäytettiin.
Vuoto ei tiettävästi vahingoittanut patoa, sillä sen arvioidaan kestävän noin 20 000 litran virtauksen sekunnissa. Viranomaisten arvion mukaan hyökkäyksellä haluttiin ennen kaikkea aiheuttaa kaaosta ja pelkoa.
Kuva: Risevatnetin pato norjalaisesta Energiteknikk-lehdestä.
Lokakuussa Norjan poliisin turvallisuusvirasto PST päätti Kriposin kanssa suorittamansa tutkinnan ja totesi, että hyökkäyksen takana olivat Venäjää tukevat hakkerit. Ketään ei asetettu syytteeseen.
Kesäkuussa 2025 hakkeriryhmä Z-Pentest Alliance julkaisi Telegram-kanavallaan kolmen minuutin pituisen videon kyseiseen patoon tehdystä kyberhyökkäyksestä ja otti vastuun teosta. PST on vahvistanut, että Z-Pentest oli hyökkäyksen takana.
Ryhmä on sittemmin poistanut kanavansa Telegramista ja perustanut samalla nimellä sen tilalle uuden. NORDIS-verkoston norjalaisella faktantakistusmedia Faktiskilla on kuvakaappauksia videosta ja hyökkäyksen jälkeen julkaistuista viesteistä. Videossa näkyy ohjauspaneeli, jolla hakkerit muuttavat ohjausjärjestelmän arvoja.
Kuva: Hakkeriryhmä Z-Pentestin julkaisu Telegramista.
Hyökkäyksiä vaalien häiritsemiseksi
Venäjää tukevat hakkerit ovat myös julkaisseet viestejä, joissa he väittävät toteuttaneensa useita DDoS-hyökkäyksiä eli palvelunestohyökkäyksiä norjalaisia verkkosivustoja vastaan. Yhdessä näistä hyökkäyksistä konservatiivipuolue Høyren verkkosivusto kaatui vain kuusi päivää ennen vuoden 2025 parlamenttivaaleja.
Parlamenttivaaleihin liittyvää ulkomaista vaikuttamista kartoittavat tutkijat uskovat, että hakkereiden tarkoituksena oli korostaa omaa merkitystään hakkeriyhteisöissä ja Venäjän viranomaisten silmissä.
Tutkimusjohtaja Andreas Skjøld-Lorange Norjan kansallisesta turvallisuusvirastosta NSM:stä uskoo, että hyökkäykset eivät välttämättä ole yritys vaikuttaa varsinaisiin vaalituloksiin, vaan pikemminkin helppo tilaisuus luoda eripuraa ja epäluottamusta.
“Vaikka jokin asia saattaakin tuntua kohdistuvan nimenomaan vaaleihin, se voi olla vain tapa tehostaa toimia, joilla on itse asiassa hyvin pitkäaikaisia tavoitteita”, Skjøld-Lorange kertoo Faktiskille.
Hän ei usko, että on sattumaa, että hakkerit ovat päättäneet siirtää huomionsa Norjasta muihin maihin, kuten Tanskaan, jossa pidettiin vaalit tämän vuoden maaliskuussa.
Norjan puolustusalan tutkimuslaitos (FFI) on todennut, ettei hakkereiden toiminnalla ollut merkittävää vaikutusta Norjan vuoden 2025 parlamenttivaaleihin ja saamelaiskäräjävaaleihin.
Ruotsissa viranomaiset ovat havainneet selkeän muutoksen vuodesta 2023 lähtien: kyberhyökkäysten määrä ei ole välttämättä kasvanut, mutta niistä on tullut edistyneempiä. Hyökkääjät ovat siirtäneet painopisteensä vaikutuksiltaan lähinnä internetiin rajoittuvista IT-hyökkäyksistä OT-hyökkäyksiin (“Operational Technology”), jotka kohdistuvat kriittiseen infrastruktuuriin.
“Aiemmin valtiosta riippumattomat toimijat ovat keskittyneet voimakkaasti DDoS-hyökkäyksiin, kiristysohjelmiin ja vastaaviin. Nyt näemme, että ne ovat laajentaneet toimintaansa edistyneempiin operaatioihin”, sanoo viestintäjohtaja Ola Billger Ruotsin puolustusvoimien radiolaitoksesta (FRA). Laitos on Ruotsin kansallinen signaalitiedusteluviranomainen ja toiminut vuodesta 2024 lähtien kansallisen kyberturvallisuuskeskuksen NCSC:n kotipaikkana.
Osalla hyökkäyksistä näyttää olevan myös toissijaisia tavoitteita. Vuoden 2018 vaalipäivän iltana Ruotsin vaaliviranomaisen verkkosivusto kaatui juuri kun parlamenttivaalien ääntenlaskenta oli alkanut. Myöhemmin alkoi liikkua perusteettomia huhuja, että vaalituloksia olisi manipuloitu sivuston ollessa poissa käytöstä.
Kuva: Ääntenlaskentaan kohdistettiin epäilyksiä ruotsalaisen Dagens Nyheter -sanomalehden kommenttipalstalla vuonna 2018, kun vaaliviranomaisen verkkosivusto oli kaatunut.
Asiaa tutkittuaan vaaliviranomaiset päättelivät, että sivustoon oli kohdistettu DDoS-hyökkäys.
Seuraavissa Ruotsin vaaleissa vuonna 2022 vaaliviranomaisen sivustoon kohdistui kolme tällaista hyökkäystä, mikä herätti epäilyksiä siitä, että tavoitteena oli lietsoa uusia huhuja vaalitulosten manipuloinnista.
Ruotsissa järjestetään jälleen parlamenttivaalit syyskuussa 2026. Kevään aikana Ruotsin turvallisuuspalvelu Säpo on varoittanut ulkomaisista yrityksistä vaikuttaa vaaleihin. Venäjä on Säpon seurannassa “korkein prioriteetti”.
Palvelunestohyökkäyksiä ja tietomurtoja Suomeen
Venäläinen NoName-hakkeriryhmä on toteuttanut Suomessa viime vuosina toistuvia palvelunestohyökkäysten sarjoja, jotka ovat kohdistuneet esimerkiksi Verohallintoon, ministeriöihin, pankkeihin, Helsingin kaupunkiin ja Suomen Pankin verkkosivustoihin.
Kuva: NoName-hakkeriryhmän kertoi palvelunestohyökkäyksistä Suomeen Telegramissa joulukuussa 2025.
Kun Suomi liittyi Natoon huhtikuussa 2023, hakkeriryhmä onnistui kaatamaan eduskunnan verkkosivut päiväksi. Samalla se häiritsi muun muassa valtioneuvoston kanslian ja pääministeri Sanna Marinin verkkosivuja.
Huhtikuun 2025 kunnallis- ja aluevaalien aikana NoName käynnisti palvelunestohyökkäyksiä vaaleihin liittyvien toimijoiden verkkosivustoja vastaan ja kaatoi keskustapuolueen verkkosivut. Vuoden 2025 lopulla ryhmä ilmoitti Telegram-kanavallaan toteuttaneensa useita kymmeniä hyökkäyksiä Suomea vastaan, mutta sittemmin sen toiminta Suomessa on laantunut.
Suomeen on kohdistunut vuodesta 2024 lähtien kuitenkin myös muutama vakavampi tietomurto, joissa hyökkääjää ei ole nimetty ainakaan julkisesti. Keväällä 2024 Helsingin kaupunkiin kohdistuneessa laajassa tietomurrossa hakkeri tai hakkerit saivat haltuunsa 150 000 oppilaan ja huoltajan henkilötunnuksen, osoitetiedot ja muita henkilötietoja sekä kaupungin 38 000 työntekijän käyttäjätunnuksen ja sähköpostiosoitteen.
Hyökkääjä aloitti tietomurron hyödyntämällä yksittäisen oppilaan käyttäjätunnusta ja salasanaa. Onnistuneen tietomurron syynä olivat kuitenkin useat puutteet palvelimien ylläpidossa, tietoturvavalvonnassa ja -ohjeistuksissa.
Alkuvuodesta 2026 hakkerit onnistuivat murtautumaan valtion tieto- ja viestintätekniikkakeskuksen Valtorin tietokantaan ja saamaan haltuunsa yhteensä 50 000:n valtion työntekijän sähköpostiosoitteen, puhelinnumeron ja laitetietoja. Syynä oli haavoittuvuus Valtorin käyttämässä valmisohjelmassa.
Niin sanottuun “nollapäivähaavoittuvuuteen”, ei ollut tapahtumahetkellä saatavissa korjausta, kertoo Valtorin ylijohtaja Hannu Naumanen Faktabaarille lähettämässään sähköpostissa.
Tällainen tietomurto lisää Naumasen mukaan esimerkiksi työntekijöihin kohdistuvien tietojen kalasteluyritysten uhkaa. “Esimerkkejä varautumistoimenpiteistä ovat hallitut riskiarvioperusteiset toimet kuten päätelaitteiden vaihdot”, hän toteaa.
Keskusrikospoliisi tutkii tietomurtoa vakoiluna, eikä Valtori siksi ole halukas kommentoimaan tekijää tai motiiveja julkisesti.
Kuva: Yle kertoi toukokuussa lisätietoja Valtoriin kohdistuneesta tietomurrosta, joka ulottui useisiin turvallisuusviranomaisiin, kuten Poliisihallitukseen ja tasavallan presidentin kansliaan.
Hakkerit tunkeutuivat koteihin
Huhtikuussa 2026 suojelupoliisi ja Kyberturvallisuuskeskus ilmoittivat estäneensä venäläisen sotilastiedusteluoperaation Suomessa osana Yhdysvaltain liittovaltion poliisin FBI:n johtamaa kansainvälistä operaatiota.
Nimellä APT 28 tunnettu Venäjän sotilastiedusteluun liitetty ryhmä oli kaapannut joitakin kymmeniä huonosti suojattuja TP-Link-mallisia kotireitittimiä ja muita internetiin kytkettyjä laitteita. Venäläisten kybervakoilijoiden kiinnostus kohdistui suojelupoliisin mukaan erityisesti sotilaalliseen toimintaan, kriittiseen infrastruktuuriin ja valtionhallintoon.
Hakkerit olivat yhdistäneet laitteet verkostoksi, jossa ne olivat kaikki yhteydessä toisiinsa. Venäläisten tarkoituksena oli käyttää kaapattuja kotireitittimiä omien toimiensa peittämiseen.
Samalla heille syntyi mahdollisuus varastaa arkaluonteisia tietoja siepatuista viesteistä, jos ne sattuivat tulemaan esimerkiksi kotikoneeltaan työskentelevältä virkamieheltä tai yrityksen edustajalta.
Operaatio pysäytettiin, kun Kyberturvallisuuskeskuksen asiantuntijat ottivat yhteyttä vanhentuneiden reitittimien suomalaisiin omistajiin ja neuvoivat heitä päivittämään tai vaihtamaan laitteet.
“Tämä oli osuva esimerkki siitä, miten sekä kyberrikollisuus että valtiollinen vakoilu nykyään toimivat hyödyntämällä kotireitittimien haavoittuvuuksia”, sanoo Kyberturvallisuuskeskuksen tietoturva-asiantuntija Samuli Könönen.
Informaatiovaikuttaminen etusijalla
Kokonaisuutena Venäjää tukevien aktivistien palvelunhyökkäyksistä ei ole ollut suomalaisille suurta haittaa. Samuli Könönen arvioi, että teknisiä saavutuksia tärkeämpää niitä tekeville venäläisille hakkeriryhmille on näkyvyyden saaminen Venäjää tukeville viesteilleen sekä Ukrainan ja lännen vastaiselle toiminnalleen.
“Tämä näkyy vaikkapa siinä, että kun he mainostavat toimintaansa Telegramissa, se on vain jäävuoren huippu siitä, mitä he yrittävät tehdä”, Könönen sanoo.
Kyberturvallisuusviranomaiset seuraavat kansainvälisellä yhteistyöllä tarkkaan NoNamen palvelunestohyökkäysten komentoliikennettä. Ryhmä lähettää päivittäin verkostoon liitetyille laitteille listan verkko-osoitteista, joihin tulee hyökätä. Kohteita on paljon enemmän kuin onnistuneita hyökkäyksiä.
“Telegramissa he julkaisevat listan vain niistä kohteista, joihin pystyvät edes valheellisesti liittämään kuvia onnistuneista hyökkäyksistä. Tyypillisesti ryhmä hakee sivulta näyttökuvan 404-virheestä, joka kertoo, ettei haettua sivua löytynyt”, Könönen toteaa.
Könösen mukaan syynä voi silloin toisinaan olla, että sivusto on rajoittanut verkkovierailuja ulkomailta ja toimii edelleen hyvin Suomesta käsin.
Samanlaista liioittelua näkyy Könösen mukaan tietomurroista tehdyissä ilmoituksissa ja esimerkiksi valvontakameroiden kaappauksissa, joita venäläiset hakkerit ovat ottaneet nimiinsä.
Faktabaarin selvityksen mukaan jotkut hakkeriryhmä Morningstarin esittelemistä valvontakamerakuvista ovat olleet julkisesti verkossa kenen tahansa vapaasti saatavilla. Könönen vahvistaa tämän havainnon.
Vaikka venäläisten hakkereiden hyökkäysten vaikutukset jäävät tyypillisesti vähäisiksi, Könönen ei halua kuitenkaan vähätellä toimintaa. Hyökkäysten torjuminen vaatii kohdeorganisaatiolta aina työtä ja tuottaa juoksevia kustannuksia, kun esimerkiksi palvelunestohyökkäysten torjunta joudutaan ostamaan palveluntarjoajalta.
Muutamista suurista tietomurroista huolimatta Könönen arvioi, että kybermaturiteetti eli kyberturvallisuuden taso on Suomessa korkealla tasolla.
“Vaikka varsinkin pienissä ja keskisuurissa yrityksissä on paljon parannettavaa, eurooppalaisessa tai puhumattakaan globaalissa vertailussa Suomen kyberturvallisuus on kuitenkin verrattain hyvällä tahdolla tasolla.”
Rahoitusta Kremlistä
Haktivismi on kasvanut merkittävästi ilmiönä sen jälkeen, kun Venäjän täysimittainen hyökkäys alkoi vuonna 2022, Kyberturvallisuuskeskuksen Samuli Könönen sanoo.
Sodan alkuvaiheessa monet Ukrainan tukijat halusivat auttaa iskemään takaisin Venäjää vastaan. Ukrainassa perustettiin “Ukrainan IT-armeija”, joka koordinoi toimintaansa Telegramin ja Twitterin kautta. Se kutsui mukaan Ukrainaa tukevia vapaaehtoisia hakkereita ympäri maailmaa toteuttamaan palvelunestohyökkäyksiä ja tietomurtoja Venäjää vastaan.
Helmikuun 2022 lopussa Ukrainan IT-armeija ilmoitti kaataneensa esimerkiksi Moskovan pörssin ja Venäjän suurimman pankin Sberbankin verkkosivut.
“NoNamen kaltaiset Venäjää tukevat hakkeriryhmät syntyivät reaktiona tähän”, Könönen sanoo.
On viitteitä siitä, että Venäjän hallinto osallistui sekä NoNamen että Z-Pentestin perustamiseen ja on tukenut ryhmiä sen jälkeen taloudellisesti.
Hakkereiden peiteorganisaationa toimii Vladimir Putinin käskystä vuonna 2018 perustettu Nuorten verkkokäyttäytymisen tutkimus- ja valvontakeskus.
Yhdysvaltain kyberturvallisuusviraston CISA:n mukaan keskuksen työntekijät koodasivat NoNamen käyttämän DDosia-ohjelmiston kyberhyökkäyksiin, rahoittivat haktivistien verkkoinfrastruktuurin, hallinnoivat haktivistien Telegram-kanavia ja listasivat sopivat hyökkäyskohteet.
CARR eli “Cyber Army of Russia Reborn” on sen sijaan CISA:n mukaan Venäjän sotilastiedustelun GRU:n luomus. Ryhmä hyödynsi vuosina 2022-2024 GRU:n yksikön 74455 tarjoamia resursseja. Z-Pentest Alliance perustettiin vuonna 2024, ja se koostuu näiden molempien ryhmien jäsenistä.
Kuva: NoName otti nimiinsä hyökkäyksen ruotsalaiseen lämpövoimalaan Telegramissa 22. huhtikuuta.
Tanskalaisen kyberturvallisuusyrityksen CSIS Security Groupin operatiivisen tiedustelun johtaja Rasmus Larsen vahvistaa, että kyseisten hakkeriryhmien yhteydet Venäjän hallintoon tunnustetaan laajalti.
“Kaiken tarjolla olevan tiedon perusteella nämä ryhmät ovat peräisin Venäjältä tai joistakin Venäjään läheisesti sidoksissa olevista valtioista. Siksi on vaikea kuvitella, ettei toiminnalla olisi vähintäänkin Venäjän viranomaisten hiljaista suostumusta”, hän arvioi.
Haktivistien toimintaa on vaikea pysäyttää
Venäjää tukeviin DDoS-hyökkäyksiin osallistuvien hakkeriaktivistien määrä on suuri, EU:n lainvalvontaviranomaisen Europolin ja Yhdysvaltain kyberturvallisuusviranomaisten tiedotteiden perusteella jopa useita tuhansia. Hakkerit myös toimivat useista maista käsin, mikä vaikeuttaa viranomaisten työtä.
Viime vuonna Yhdysvaltoihin luovutettiin ulkomailla pidätetty ukrainalainen 33-vuotias haktivisti Victoria Eduardovna Dubranova. Hänet on asetettu syytteeseen osallistumisesta sekä CARR:n että NoNamen laittomiin hyökkäyksiin Yhdysvaltain kriittistä infrastruktuuria vastaan.
Heinäkuussa 2025 Europol ilmoitti “hajottaneensa” NoName-ryhmän infrastruktuurin yhdessä EU:n rikosoikeudellisen yhteistyön viraston Eurojustin kanssa purkamalla suuren osan ryhmän palvelininfrastruktuurista ja yli 100 järjestelmää ympäri maailmaa.
Osana samaa “Operaatio Eastwoodia” Europol myös teki kaksi pidätystä ja lisäsi viisi venäläistä etsityimpien rikollisten listalleen.
“Operaatio pysäytti NoNamen toiminnan kokonaan muutamaksi viikoksi kesällä 2025”, kertoo Samuli Könönen.
“Sen jälkeen toiminta on jatkunut kutakuinkin ennallaan. Tuolloin, kesän 2025 lopussa se oli jopa hieman intensiivisempää jonkin aikaa, kun kohteena oli muiden muassa useita Eastwoodiin osallistuneita tahoja.”
Muilta osin tiedot Venäjää tukevista hakkeriryhmistä ovat rajallisia. Hakkereiden toiminnasta voi kuitenkin päätellä, että julkisuus on heidän toiminnalleen ensiarvoisen tärkeää. Harvat ihmiset seuraavat hakkereiden omia Telegram-kanavia tai edes huomaavat, jos jokin verkkosivusto on satunnaisesti poissa käytöstä lyhyen aikaa.
Kuten Samuli Könönen toteaa, esimerkiksi kaupunkiliikenteen sovelluksen kaatuminen on harmillista, mutta bussit kulkevat silti edelleen.
Siksi kuvaukset hakkereiden hyökkäyksistä länsimaisissa tiedotusvälineissä tarjoavat hakkereille kenties vahvistusta siitä, että he ovat onnistuneet tavoitteessaan häiritä kohdemaita.
“He seuraavat tarkasti, milloin ja kuka heistä kirjoittaa ja mitä kirjoitetaan. He ovat myös hyvin äänekkäitä omilla verkkokanavillaan. Katsokaa meitä, kuunnelkaa meitä”, sanoo Rasmus Larsen tanskalaisesta kyberturvallisuusyrityksestä CSIS Security Groupista.
Kuva: Inteid-hakkeriryhmä jakoi Telegramissa linkkejä Tanskassa julkaistuihin juttuihin, jotka kertoivat venäläisten hakkereiden iskuista.
Erityisen selväksi hakkereiden tarve saada näkyvyyttä kävi tammikuussa, kun NORDIS-verkostoon kuuluva tanskalainen TjekDet oli julkaissut useita artikkeleita venäläisten hakkereiden kyberhyökkäyksistä.
Hyökkäys NORDIS-mediaa vastaan
Tammikuun ensimmäisenä päivänä TjekDetin hallituksen puheenjohtaja yritti avata tjekdet.dk-verkkolehden sivuston. Uusimpien faktantarkistusten sijaan hän sai eteensä ilmoituksen, että sivusto ei ollut käytettävissä.
Puheenjohtaja otti yhteyttä TjekDetin päätoimittajaan, joka oli jo pitkään pelännyt hakkeriryhmien hyökkäystä, koska toimitus oli aktiivisesti kirjoittanut niistä. Samaan aikaan sähköpostiin saapui viesti. Sen lähettäjä oli Inteid-hakkeriryhmä.
“Hei, olen hakkeriryhmä Inteidin johtaja. Toteutin tänään DDoS-hyökkäyksen verkkosivustollenne www.tjekdet.dk”, viestissä luki.
Lähettäjä myös kertoi, mitä TjekDetin pitäisi tehdä, jotta verkkomediaan ei kohdistettaisi uutta hyökkäystä. Hakkeri ei vaatinut rahaa, vaan näkyvyyttä.
“Jos ette julkaise artikkelia hyökkäyksestäni verkkosivuillenne, hyökkään uudelleen lähitulevaisuudessa. Teidän on myös välitettävä tämä tieto muille medioille, jotta nekin julkaisevat artikkelin hyökkäyksestäni sivustollenne. Ehditte vielä hyvin”, viestissä luki.
Lisäksi lähettäjä vaati, että TjekDet ilmoittaa ryhmästä poliisille, koska se halusi tulla viranomaisten etsintäkuuluttamaksi.
TjekDetin päätoimittaja otti yhteyttä sivustosta vastaavaan yritykseen Peytziin, joka vahvisti, että verkkosivustolla oli poikkeuksellisen paljon liikennettä.
Tjekdetin verkkosivu oli tuntien ajan vuorotellen toiminnassa ja alhaalla. “DDoS-hyökkäykseen osallistuu valtava verkosto”, Peytz viestitti TjekDetin päätoimittajalle. “Sitä on vaikea pysäyttää, mutta teemme parhaamme.”
Myöhemmin illalla Peytz onnistui rajoittamaan hyökkäystä. TjekDet ei suostunut Inteidin vaatimuksiin.
Mahtailevaa viestintää
Huomionkaipuu ja toisinaan perusteettomat väitteet pääsystä luottamuksellisiin valtion asiakirjoihin, joita hakkerit aikovat julkaista – mutta eivät sitten julkaise – ovat syitä siihen, miksi Rasmus Larsen CSIS Security Groupista ei pidä haktivistien aiheuttamaa uhkaa erityisen suurena
“Todella kyvykkäät ihmiset ovat tyypillisesti niitä, joista ei koskaan kuule mitään. Heillä ei ole kiire kehua itseään. He keskittyvät asioihin, jotka toimivat ja voivat aiheuttaa vahinkoa. Tällaisista ihmisistä on syytä olla huolissaan.”
Larsenin mukaan venäläiset haktivistit luokitellaan erilaisista hakkeriryhmistä alimmalle uhkatasolle. Hän ei usko, että heillä olisi varalla vielä käyttämättömiä kyberhyökkäyskykyjä, joihin meidän olisi syytä varautua ainakaan nykyisessä turvallisuuspoliittisessa tilanteessa.
“Mutta se ei tarkoita, etteikö heille voitaisi antaa kyseisiä kykyjä, jos tilanne joskus menisi siihen”, hän sanoo viitateen avoimeen sotaan Venäjää vastaan.
Kuva: Venäläisten hakkereiden Telegram-viestissä 9. helmikuuta 2026 uhkailtiin ruotsalaisia “mädän silakan syöjiä”.
Kosto Ukrainan tukemisesta
Euroopan unionin kyberturvallisuusviraston (ENISA) mukaan Pohjoismaat eivät olleet Euroopassa viiden eniten kyberhyökkäysten kohteeksi joutuneen maan joukossa vuonna 2025. NoName kohdisti eniten palvelunestohyökkäyksiä suuriin EU-jäsenvaltioihin - Saksaan, Ranskaan, Italiaan ja Puolaan - sekä Baltian maista Liettuaan.
Samoin tilannetta kuvaa 1980-luvulta asti tietotekniikan kehitykseen ja tietoturvaan perehtynyt tietokirjailija Petteri Järvinen.
“Suomi on liian pieni kiinnostaakseen Venäjää. Maa laittaa isoimmat paukkunsa Saksaan, Ranskaan ja muihin isoihin EU-maihin.”
Hän pitää kuitenkin mahdollisena, että Suomen kiinnostavuus operaatioiden kohdemaana nousee Venäjän silmissä Ukrainassa käytävän hyökkäyssodan seurauksena.
Järvinen muistuttaa, että useat yritykset ja organisaatiot joutuivat jo vuonna 2017 Venäjän sotilastiedusteluun yhdistetyn Sandworm-ryhmän haittaohjelman NotPetyan kohteeksi. Ohjelma oli kehitetty tuhoamaan dataa ja kohdistettu alun perin Ukrainan infrastruktuuria vastaan.
Apulaisprofessori Rasmus Dahlbergilla on teoria siitä, miksi Tanska on valikoitunut Pohjoismaista venäläisten haktivistien ykköskohteeksi. Dahlberg toimii varajohtajana Roskilden yliopiston yhteiskunnallisen turvallisuuden ja resilienssin tutkimuskeskuksessa (SECURE).
“Yhden ilmeisen hypoteesin mukaan syynä on se, että Tanskan hallitus on ilmaissut tukensa Ukrainalle erittäin voimakkaasti. Emme ole salanneet sitä, että olemme merkittävä avunantajamaa, jonka kansalaiset tukevat vahvasti Ukrainaa sen taistelussa Venäjää vastaan”, hän sanoo.
Kuva: Myös brittiläinen sanomalehti The Independent on huomioinut Tanskaan kohdistuvan hybridivaikuttamisen.
Venäjää tukevat hakkeriryhmät ovat useaan otteeseen myös itse maininneet Ukrainan tukemisen syyksi hyökkäyksille. 28. tammikuuta useista eri ryhmistä muodostunut liittouma Russian Legion kirjoitti Telegram-kanavallaan seuraavasti:
“Tanskan hallitus aikoo myöntää 1,5 miljardin dollarin arvoisen sotilaallisen avustuspaketin. Pidämme tätä suorana osallistumisena konfliktiin ja sotaa rahoittavana toimena, joka on etujemme vastaista. Tanskalla on 48 tuntia aikaa peräytyä julkisesti ja virallisesti näiden varojen siirrosta. Kieltäytymisen on oltava selkeä ja ehdoton, ja se on ilmaistava maan johdon tasolla.”
Kuva: NoName perusteli 16. helmikuuta Telegramissa palvelunestohyökkäyksiään Ruotsissa Ukrainan tukemisella.
Ruotsin siviilipuolustus- ja kriisinhallintavirasto (MCF) on todennut, että hyökkäysten määrä liittyy läheisesti Ruotsin geopoliittiseen asemaan. Kun jotain epätavallista tapahtuu, tilanne voi kärjistyä nopeasti – kuten esimerkiksi silloin, kun Ruotsi liittyi sotilasliittoon Natoon maaliskuussa 2024. IT-turvallisuusyritys Cloudflaren mukaan palvelunestohyökkäysten määrä nousi tuolloin 466 prosenttia.
Ruotsi on joutunut hakkereiden vihan kohteeksi myös silloin, kun maa on ilmoittanut tuestaan Ukrainalle. Helmikuussa 2026 NORDIS-verkostoon kuuluva Källkritikbyrån kertoi jutussaan, että Venäjää tukevat ryhmät olivat hakkeroineet valvontakameroita Ruotsissa.
Kuvat: Venäläisten hakkereiden Telegramissa julkaisemia valvontakamerakuvia Ruotsista.
Kamerakuvat julkaistiin avoimella Telegram-kanavalla samana päivänä, kun Ruotsi ilmoitti uudesta tukipaketista Ukrainalle. Pakettiin sisältyi merkittäviä summia Ukrainan terveydenhuoltoon ja sosiaalipalveluihin.
NORDIS on ajoittanut useita venäläisten hakkeriryhmien ilmoituksia Telegram-kanavilta vastaavien tapahtumien yhteyteen. 24. marraskuuta 2025 Ruotsi isännöi Crimea Platformia, vuotuista huippukokousta, jonka tarkoituksena on kerätä tukea Ukrainalle ja vastustusta Venäjän miehitykselle Krimin niemimaalla.
Huippukokousta edeltävinä päivinä yksi NORDIS-toimitusten seurannassa olleista hakkeriryhmistä julkaisi raportteja hyökkäyksistä 28 ruotsalaista kohdetta vastaan. Niihin sisältyi poliittisia puolueita, kuten Ruotsin ympäristöpuolue ja keskustapuolue, sekä useita kaupunkien ja kuntien verkkosivustoja.
Pyrkimyksenä herättää pelkoa
Ola Billger Ruotsin puolustusvoimien radiolaitoksesta (FRA) korostaa, että vaikka viranomaiset ottavat hakkereiden julkaisemat väitteet hyökkäyksistä vakavasti, niihin on suhtauduttava varauksella.
“Joskus nämä ryhmät ottavat vastuun teoista, joita eivät ole tehneet. Se on syy, miksi olemme joskus varovaisia kommentoimaan sitä, kuka hyökkäyksen takana on. Emme halua kiinnittää tarpeetonta huomiota ryhmiin, jotka elävät juuri sellaisesta.”
Tämä näkyy myös Norjassa. Kesällä 2025 Norjan turvallisuuspalvelun PST:n johtaja Beate Gangås totesi, että operaatioiden tarkoituksena on todennäköisesti laajemman vaikutusvallan hankkiminen sekä pelon ja levottomuuden luominen väestön keskuuteen.
Venäläiset hakkerit ovat myös itse viestineet saman suuntaisesti. Kun uutiset norjalaiseen patoon kohdistuneesta kyberhyökkäyksestä tulivat julkisuuteen elokuussa 2025, hakkerit kirjoittivat Telegram-kanavalla, että tavoitteena “ei ole aiheuttaa vahinkoa, vaan osoittaa valmiutemme puolustaa Venäjän etuja ja toimia päättäväisesti tarvittaessa”.
Sodankäyntiä kognitiivisella alueella
Vaikka erityisesti DDoS-hyökkäysten seuraukset ovat yleensä vähäisiä, apulaisprofessori Rasmus Dahlberg Roskilden yliopistosta uskoo, että ne voivat olla silti varsin tehokkaita niin sanotulla kognitiivisella alueella käytävässä sodankäynnissä. Tälle alueelle ulkovallat pyrkivät vaikuttamaan myös levittämällä disinformaatiota.
Rasmus Dahlberg kuvailee Venäjän taktiikkaa “tappamiseksi tuhannen viillon avulla”.
“Se on hybridisodankäynnin tunnusmerkki. Emme ole suuren digitaalisen Pearl Harbor -hyökkäyksen kohteena. Kyse on sarjasta pieniä hyökkäyksiä, jotka ajan mittaan voivat heikentää luottamusta, levittää huolta ja siten rapauttaa yhteiskuntamme yhteenkuuluvuutta”, hän sanoo.
Dahlberg myös huomauttaa, että DDoS-hyökkäykset saattavat esimerkiksi paljastaa viranomaisten kyvyttömyyden estää tämän tyyppisiä hyökkäyksiä.
Kuva: Hakkerit kertoivat Telegramissa uusista palvelunestohyökkäyksistä 23. maaliskuuta Tanskan Ukrainalle antaman sotilaallisen tukipaketin jälkeen.
Rasmus Dahlbergin mukaan on vaikea sanoa, kuinka hyvin Tanska on teknisesti suojattu kyberhyökkäyksiltä. Hänen mielestään se ei myöskään ole välttämättä kaikkein olennaisin asia, koska taistelua ei lopulta käydä kyberavaruudessa, vaan meidän kaikkien mielissä. Tutkijat kutsuvat sitä kognitiiviseksi alueeksi.
Siksi viranomaisten on osattava estää esimerkiksi DDoS-hyökkäyksen jälkivaikutukset, kuten kansalaisten pelko, huoli ja epävarmuus. Tämä vaatii viranomaisilta avoimuutta. Heidän tulisi tarjota kattavasti tietoa hyökkäyksistä, jotta huoli ei jää kalvamaan kansalaisia.
“Jos asian muotoilee kohteliaasti, niin en ole vielä täysin vakuuttunut siitä, että olemme siinä riittävän vahvoja”, Dahlberg sanoo.
Avauskuva: Nathalie Damgaard Frisch / Tjekdet
Artikkeli on syntynyt pohjoismaisen NORDIS-verkoston (Nordic Observatory for Digital Media and Information Disorder) toimitusten yhteistyön tuloksena. Lisätietoja yhteistyöstä löytyy täältä.
Jutun taustoittamiseen ja kirjoittamiseen on osallistunut toimittajia Suomesta, Tanskasta, Norjasta ja Ruotsista.
Daniel Greneaa Hansen (TjekDet)
Jonathan Lundberg (Källkritikbyrån)
Joonas Pörsti (Faktabaari)
Kajsa Garmann Lønrusten (Faktisk.no)
Petri Jääskeläinen (Faktabaari)
Åsa Larsson (Källkritikbyrån)
Jaa eteenpäin
