Sisältöön

Milano–Cortina 2026 -hyökkäykset - SecMeter

Ohita valikko
Ohita valikko

Milano–Cortina 2026 -hyökkäykset

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
NoName057(16) hacktivistit ja Milano–Cortina 2026 -hyökkäykset



Milano–Cortina 2026 -talviolympialaiset eivät olleet ainoastaan urheilun ja kansainvälisen yhteistyön näyttämö, vaan myös digitaalisen toimintaympäristön koetinkivi. Suuret globaalit tapahtumat houkuttelevat näkyvyytensä ja symboliarvonsa vuoksi erilaisia kyberuhkatoimijoita, joiden tavoitteet vaihtelevat taloudellisesta hyödystä poliittiseen vaikuttamiseen.

Yksi viime vuosien näkyvimmistä ilmiöistä on valtiomyönteinen hacktivismi, jossa teknisesti suhteellisen yksinkertaisia keinoja käytetään strategisesti näkyvien kohteiden häirintään. Pro-Venäjään linkittyväksi kuvattu NoName057(16) on noussut keskeiseksi toimijaksi tässä kehityksessä.

Ryhmän toiminta Milano–Cortina 2026 -talviolympialaisiin liittyvien verkkopalveluiden, Italian ulkoministeriön sekä muiden symbolisesti merkittävien kohteiden ympärillä havainnollistaa, miten palvelunestohyökkäyksiä voidaan hyödyntää osana laajempaa informaatiovaikuttamista ja geopoliittista narratiivia.

On syytä tarkastella, mitä Milano–Cortina 2026 -tapauksista tiedetään, miten NoName057(16) toimii, millaisia tunnuspiirteitä sen kaltaisilla DDoS-kampanjoilla on ja miten yritykset voivat tunnistaa sekä kontekstualisoida tämän tyyppisiä kyberhäirintäoperaatioita osana laajempaa turvallisuusympäristöä.

Italia on estänyt useita kyberhyökkäyksiä, jotka ovat kohdistuneet muun muassa:

  • Italian ulkoministeriön verkkoihin ja Italian edustustoihin ulkomailla (esim. Italian edustusto Washingtonissa)
  • Virallisiin olympiasivustoihin ja verkkopalveluihin, jotka liittyvät Milano-Cortina 2026 talviolympialaisiin
  • Hotellien sivustoihin, joissa kisavieraat majoittuvat Cortina d’Ampezzossa ja muissa kohteissa

Italia ja Italian kyberturvallisuusviranomaiset ovat torjuneet nämä hyökkäykset onnistuneesti, eikä niistä raportoida aiheutuneen merkittäviä häiriöitä tärkeille palveluille tai kisojen toiminnalle.

Ulkoministeri Antonio Tajani on maininnut hyökkäysten olevan venäläistä alkuperää tai venäjään linkittyvien toimijoiden tekemiä, mutta hän ei ole antanut yksityiskohtaisia teknisiä tietoja niiden tarkasta luonteesta tai tekniikoista.

Pro-Venäjän hakkeriryhmä NoName057 on väittänyt olevansa vastuussa joistakin hyökkäyksistä tai ainakin DDoS-hyökkäyksistä, jotka pyrkivät lamauttamaan verkkopalveluita. Tällaiset hyökkäykset ovat tarkoitettu palvelunestoon eivätkä suoraan järjestelmän murtoon tai tietojen varastamiseen.
Kansainvälinen ja viranomaisten arvio
Monet kansainväliset uutislähteet, kuten AP News ja Reuters, ovat raportoineet asiasta samaan tapaan. Italia on onnistuneesti torjunut Venäjään liittyviä kyberhyökkäyksiä ennen merkittävää vahinkoa.

Tilanteesta on keskusteltu myös muiden maiden ja viranomaisten kyberturvallisuusorganisaatioissa, sillä suurten kansainvälisten tapahtumien verkkoinfrastruktuurit ovat houkuttelevia kohteita poliittis- tai hybridityylisille kyberoperaatioille.

Venäjän virallinen vastaus
Venäjän diplomaattinen edustusto on pilkallisesti kiistänyt syytökset, kutsuen niitä liioitelluiksi tai perusteettomiksi.

NoName057(16) ja valtiomyönteinen hacktivismi
NoName057(16) on yksi näkyvimmistä esimerkeistä niin sanotusta valtiomyönteisestä hacktivismista, joka on noussut esiin erityisesti Venäjän ja länsimaiden välisten geopoliittisten jännitteiden kärjistyttyä 2020-luvulla.

Ryhmä aktivoitui laajemmin vuoden 2022 jälkeen, ja sen toiminta on sittemmin kohdistunut useisiin Euroopan unionin ja NATO-maiden julkisiin verkkopalveluihin, erityisesti poliittisesti tai symbolisesti merkittäviin kohteisiin.

NoName057(16) ei vastaa perinteistä käsitystä kehittyneestä kyberuhkatoimijasta (APT). Ryhmä ei ole tunnettu tietomurroista, vakoilusta tai haittaohjelmien kehittämisestä, vaan sen toiminta keskittyy lähes yksinomaan palvelunestohyökkäyksiin (Distributed Denial of Service, DDoS). Näiden hyökkäysten tarkoituksena ei ole varastaa tietoa tai ottaa järjestelmiä pysyvästi haltuun, vaan häiritä palveluiden saatavuutta, herättää huomiota ja tuottaa poliittista sekä psykologista vaikutusta.

Ryhmän toimintamalli perustuu vahvasti joukkoistamiseen. NoName057(16) hyödyntää erityisesti Telegram-viestipalvelua sekä rekrytointikanavana että propagandavälineenä. Kanavillaan ryhmä julkaisee kohdelistoja, ideologisesti latautuneita viestejä ja ohjeita, joilla yksittäiset käyttäjät voivat osallistua hyökkäyksiin ilman syvällistä teknistä osaamista.

Keskeinen työkalu tässä on ryhmän oma DDoS-ohjelma, joka automatisoi hyökkäysten toteuttamisen ja ohjaa vapaaehtoisten koneet lähettämään suuria määriä verkkopyyntöjä ennalta määriteltyihin kohteisiin.

Teknisesti NoName057(16):n hyökkäykset ovat usein suhteellisen yksinkertaisia. Ne kohdistuvat pääosin julkisiin verkkosivustoihin ja hyödyntävät HTTP-pohjaisia kuormitusmenetelmiä, joskus myös kehittyneempiä sovellustason (Layer 7) hyökkäyksiä.

Ryhmä ei yleensä pyri ohittamaan monimutkaisia suojauksia tai murtautumaan sisäverkkoihin, vaan se hyödyntää sitä tosiasiaa, että monet julkiset verkkopalvelut ovat suunniteltu avoimiksi ja suuren yleisön käytettäväksi. Tällöin jo suhteellisen lyhytkestoinenkin palvelukatko voi tuottaa näkyvän ja poliittisesti hyödynnettävän vaikutelman.

Oleellinen osa NoName057(16):n toimintaa on viestintä hyökkäysten aikana ja niiden jälkeen. Ryhmä julkaisee usein reaaliaikaisia ilmoituksia väitetyistä onnistumisista, kuvakaappauksia kaatuneista sivustoista sekä listoja kohteista, joihin on hyökätty.

Näin tekninen häiriö kytketään suoraan informaatiovaikuttamiseen. Vaikka palvelukatkot olisivat lyhyitä tai vaikutuksiltaan rajallisia, ne saavat huomattavasti suuremman merkityksen ryhmän oman viestinnän ja sosiaalisen median kautta.

NoName057(16):n toiminta on luonteeltaan matalan kynnyksen kyberhäirintää, mutta se kytkeytyy osaksi laajempaa hybridioperaatioiden kokonaisuutta. Ryhmä toimii eräänlaisena puskurina valtiollisen toiminnan ja ruohonjuuritason aktivismin välissä.

Suoraa näyttöä virallisesta valtionohjauksesta ei useinkaan ole, mutta ryhmän kohdevalinnat, ajoitus ja viestintä tukevat selkeästi Venäjän ulkopoliittisia narratiiveja. Tästä syystä viranomaiset ja tutkijat kuvaavat NoName057(16):ta usein ”Venäjämieliseksi” tai ”Venäjään linkittyväksi” toimijaksi sen sijaan, että sitä pidettäisiin täysin itsenäisenä hakkeriryhmänä.

Yhteenvetona voidaan todeta, että NoName057(16) ei ole teknisesti erityisen kehittynyt tai pitkävaikutteinen kyberuhka, mutta sen merkitys on ennen kaikkea strateginen ja psykologinen.

Ryhmä osoittaa, kuinka yksinkertaisillakin kyberkeinoilla voidaan tukea poliittista viestintää, horjuttaa luottamusta julkisiin instituutioihin ja kuormittaa valtioiden kyberturvallisuusresursseja. Tässä mielessä NoName057(16) edustaa uudentyyppistä kybertoimintaa, jossa näkyvyys ja narratiivinen vaikutus ovat tärkeämpiä kuin tekninen syvällisyys.

NoName057(16) -tyylisten kyberhyökkäysten tunnistaminen
Ensimmäinen selkeä merkki NoName-tyylisestä hyökkäyksestä on poikkeava verkkoliikenteen kasvu julkisiin verkkopalveluihin. Hyökkäykset kohdistuvat yleensä HTTP- ja HTTPS-liikenteeseen ja näkyvät äkillisinä pyyntöpiikkeinä, jotka eivät vastaa normaalia käyttäjäkäyttäytymistä.

Liikenne jakautuu usein laajalle joukolle IP-osoitteita useista eri maista, mikä on tyypillistä vapaaehtoisiin perustuville hajautetuille hyökkäyksille. Huomionarvoista on, että yksittäisten lähteiden liikennemäärät voivat olla suhteellisen pieniä, mutta kokonaiskuormitus kasvaa merkittävästi.

Toinen tunnusomainen piirre on hyökkäysten ajallinen ja temaattinen konteksti. NoName057(16):n iskut ajoittuvat usein poliittisesti merkittäviin hetkiin, kuten hallituksen ulkopoliittisiin linjauksiin, kansainvälisiin kriiseihin tai näkyviin tapahtumiin, kuten urheilukilpailuihin ja vaaleihin.

Yritykset, jotka seuraavat aktiivisesti kyberuhkatiedustelua ja avoimia lähteitä, voivat havaita yhteyden hyökkäyksen alkamisen ja samanaikaisten poliittisten lausuntojen tai uutistapahtumien välillä. Tämä ajallinen yhteys erottaa NoName-tyylisen toiminnan monista puhtaasti rikollisista DDoS-hyökkäyksistä.

Kolmas tunnistamista helpottava tekijä on hyökkäysten kohdevalinta. NoName057(16) suuntaa toimintansa ensisijaisesti symbolisesti merkittäviin, mutta teknisesti matalamman suojauksen julkisiin palveluihin.

Tyypillisiä kohteita ovat ministeriöiden verkkosivut, suurlähetystöjen infosivut, vaalijärjestelmiin liittyvät julkiset portaalit sekä suurten kansainvälisten tapahtumien verkkosivustot. Yritykset voivat tunnistaa hyökkäyksen luonteen tarkastelemalla, kohdistuuko liikenne juuri näihin näkyviin mutta ei-kriittisiin järjestelmiin sen sijaan, että se yrittäisi päästä sisäverkkoihin tai tietokantoihin.

Teknisellä tasolla NoName057(16)-tyyliset hyökkäykset erottuvat myös pyyntöjen rakenteessa. Hyökkäyksissä käytetään usein toistuvia URL-polkuja, yksinkertaisia HTTP-metodeja ja samankaltaisia käyttäjäagentteja, jotka viittaavat automatisoituun hyökkäystyökaluun.

Vaikka liikenne pyritään naamioimaan normaaliksi verkkoselailuksi, tarkempi analyysi paljastaa epäluonnollisen tasaisen tai rytmikkään pyyntömallin, joka poikkeaa aidosta käyttäjäliikenteestä.

Merkittävä, mutta usein alihyödynnetty tunnistamiskeino on avoimien lähteiden seuranta. NoName057(16) ilmoittaa hyökkäyksistään avoimesti omilla viestintäkanavillaan, erityisesti Telegramissa. Yritykset ja kansalliset kyberturvallisuustoimijat seuraavat näitä kanavia joko suoraan tai uhkatiedustelun välityksellä.

Monissa tapauksissa hyökkäys voidaan yhdistää ryhmään jo sen aikana tai jopa ennen sitä, kun ryhmä julkaisee kohdelistan tai kehottaa kannattajiaan osallistumaan operaatioon.

Lopulta ratkaisevaa on se, että NoName057(16):n hyökkäykset eivät yleensä sisällä merkkejä pitkäkestoisesta läsnäolosta tai järjestelmiin murtautumisesta.

Kun yritys havaitsee, että poikkeava liikenne ei johda tunnusten väärinkäyttöön, tiedonsiirtoon ulospäin tai järjestelmämuutoksiin, hyökkäys voidaan luokitella häirintäluonteiseksi palvelunestohyökkäykseksi. Tämä auttaa erottamaan NoName-tyylisen toiminnan vakavammista kybervakoilu- tai sabotaasioperaatioista.

Yhteenvetona voidaan todeta, että NoName057(16)-tyylisten hyökkäysten tunnistaminen perustuu liikenteen poikkeamien, kohdevalinnan, ajallisen kontekstin ja avoimen tiedustelun yhdistämiseen. Kyse ei ole pelkästään teknisestä havainnosta, vaan tilannekuvasta, jossa tekninen analyysi ja geopoliittinen ymmärrys tukevat toisiaan.

NoName057(16):n tunnistaminen Milano–Cortina 2026 -kyberhyökkäysten yhteydessä
Milano–Cortina 2026 -talviolympialaisiin kohdistuneiden kyberhyökkäysten yhteydessä Italian viranomaiset eivät tunnistaneet hyökkääjää yksittäisen teknisen todisteen perusteella, vaan soveltamalla niin sanottua attribuutioprosessia.

Kybertoiminnassa hyökkäyksen tekijän varma ja kiistaton tunnistaminen on harvoin mahdollista, minkä vuoksi arvio perustuu useiden teknisten, ajallisten ja kontekstuaalisten indikaattorien kokonaisuuteen. Tässä tapauksessa nämä indikaattorit viittasivat johdonmukaisesti pro-venäläiseen hacktivistiryhmään NoName057(16).

Ensimmäinen keskeinen tekijä oli hyökkäysten tekninen luonne. Milano–Cortina 2026 -tapauksissa havaittiin palvelunestohyökkäyksiä, jotka kohdistuivat julkisiin ja symbolisesti merkittäviin verkkopalveluihin, kuten olympialaisten virallisiin sivustoihin sekä Italian ulkoministeriön ja diplomaattisten edustustojen verkkosivuihin.

Hyökkäykset eivät sisältäneet viitteitä järjestelmiin murtautumisesta, tietojen varastamisesta tai pitkäkestoisesta haittaohjelmatoiminnasta. Tämä rajasi pois kehittyneet valtiolliset APT-ryhmät sekä taloudellista hyötyä tavoittelevat kyberrikolliset ja vastasi hyvin NoName057(16):n aiemmin tunnettua toimintaprofiilia, jossa painopiste on nimenomaan häirintäluonteisissa DDoS-hyökkäyksissä.

Toinen merkittävä tunnistamista tukenut tekijä oli kohteiden valinta. NoName057(16) on aiemmassa toiminnassaan keskittynyt kohteisiin, joilla on korkea poliittinen tai symbolinen arvo mutta jotka eivät ole kriittistä infrastruktuuria.

Milano–Cortina 2026 -talviolympialaiset edustavat juuri tällaista kohdetta. Ne ovat kansainvälisesti näkyvä tapahtuma, jonka häiritseminen tuottaa huomattavaa mediahuomiota, vaikka tekninen vaikutus jäisi rajalliseksi.

Italian ulkoministeriön ja suurlähetystöjen verkkosivut puolestaan edustavat valtiollista näkyvyyttä, jota NoName057(16) on toistuvasti pitänyt legitiiminä kohteena poliittisessa protestissaan.

Kolmas keskeinen indikaattori liittyi hyökkäysten ajoitukseen ja geopoliittiseen kontekstiin. Hyökkäykset tapahtuivat ajanjaksona, jolloin Italia oli aktiivisesti esillä Euroopan unionin ja Naton politiikassa sekä tuki Ukrainaa Venäjän hyökkäyssotaa vastaan.

NoName057(16):n aiemmassa toiminnassa on havaittu selkeä kaava, jossa hyökkäykset ajoittuvat länsimaiden Venäjään liittyviin poliittisiin päätöksiin tai näkyviin kansainvälisiin tapahtumiin. Tässä mielessä Milano–Cortina 2026 -hyökkäykset istuivat luontevasti ryhmän aiempaan toimintamalliin.

Teknisellä tasolla Italian kyberturvallisuusviranomaiset pystyivät vertaamaan hyökkäyksissä havaittuja liikennemalleja aiemmin dokumentoituihin NoName057(16):n hyökkäyksiin muissa Euroopan maissa.

Hyökkäykset ilmenivät epätasaisena mutta jatkuvana HTTP- ja HTTPS-liikenteenä, joka oli hajautunut suurelle määrälle lähdeosoitteita. Tällainen liikenne vastaa vapaaehtoispohjaiseen DDoS-toimintaan perustuvaa mallia, jota NoName057(16) hyödyntää omien työkalujensa kautta. Vaikka yksittäinen liikennepiirre ei ole yksinään ratkaiseva, useiden yhtäläisyyksien yhteensopivuus vahvisti attribuutiota.

Erityisen merkittävä rooli tunnistamisessa oli avoimien lähteiden tiedustelulla. NoName057(16) on poikkeuksellisen avoin toiminnastaan ja ilmoittaa hyökkäyksistään julkisesti erityisesti Telegram-kanavillaan.

Milano–Cortina 2026 -tapauksissa ryhmä väitti itse vastuuta useista hyökkäyksistä ja julkaisi kohdelistoja, jotka vastasivat Italian viranomaisten havaitsemia hyökkäyksiä. Vaikka tällaiset väitteet eivät täytä oikeudellisen todistusaineiston kriteerejä, ne ovat kyberattribuutiossa merkittävä tukevien indikaattorien lähde, erityisesti silloin kun ne vastaavat teknisiä ja ajallisia havaintoja.

Lopuksi Italian arvioon vaikutti kansainvälinen kyberturvallisuusyhteistyö. Euroopan unionin ja Naton puitteissa jaetaan jatkuvasti tietoa käynnissä olevista kyberkampanjoista, ja NoName057(16) on ollut aktiivinen useissa maissa samanaikaisesti.

Milano–Cortina 2026 -hyökkäykset näyttäytyivät osana laajempaa kampanjaa, jossa samantyyppisiä kohteita häirittiin useissa Euroopan valtioissa. Tämä vahvisti käsitystä siitä, ettei kyse ollut yksittäisestä tai paikallisesta häiriöstä, vaan tunnetun toimijan jatkumosta.

Yhteenvetona voidaan todeta, että Italia pystyi tunnistamaan NoName057(16):n osallisuuden Milano–Cortina 2026 -talviolympialaisiin kohdistuneissa kyberhyökkäyksissä yhdistämällä hyökkäysten teknisen luonteen, kohdevalinnan, ajoituksen, liikennemallit, avoimen lähdetiedustelun sekä kansainvälisen tilannekuvan.

Kyse ei ollut absoluuttisesta varmuudesta, vaan todennäköisyyteen perustuvasta attribuutiosta, joka vastasi johdonmukaisesti ryhmän aiemmin tunnettua toimintamallia.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön