MOIS - SecMeter

Johtosuhteet ja ohjaus

Iranin tiedustelu- ja turvallisuusministeriötä (MOIS) johtaa tiedusteluministeri, jonka nimittää Iranin presidentti. Ministerin on oltava uskonnollinen oppinut (klerkki), ja hänen nimityksensä edellyttää korkeimman uskonnollisen johtajan hyväksyntää. Tämä vahvistaa MOIS:n kytköksen sekä hallitukseen että suoraan korkeimman johtajan alaisuuteen.

Strategiset linjaukset muotoillaan Korkeimman kansallisen turvallisuusneuvoston (SNSC, Supreme National Security Council) puitteissa, mutta niiden toimeenpano vaatii korkeimman johtajan vahvistuksen.

MOIS:n ministerit

1. Mohammad Reyshahri (1984–1989) Ensimmäinen tiedusteluministeri, johti MOIS:n perustamista ja sisäisiä puhdistuksia. Hänet muistetaan myös tiedustelun vahvistamisesta vallankumouksen jälkeisessä Iranissa.
2. Ali Fallahian (1989–1997) Palveli Rafsanjanin kaudella, liitetty kansainvälisiin salamurhiin kuten Mykonos-tapaukseen.
3. Ghorbanali Dorri-Najafabadi (1997–1999). Khatamin hallituksen ensimmäinen tiedusteluministeri.
4. Ali Younesi (1999–2005): ei ole ollut ulkoministeri, vaan ainoastaan tiedusteluministeri. Viran jälkeen hän toimi presidentti Rohanin neuvonantajana erityisesti vähemmistökysymyksissä.
5. Gholam-Hossein Mohseni-Eje’i (2005–2009). Ahmadinejadin hallituksen aikana, konservatiivinen klerkki, sittemmin oikeuslaitoksen johtaja.
6. Heydar Moslehi (2009–2013). Jatkoi Ahmadinejadin ja myöhemmin Khamenein vahvassa tuessa, vaikka presidentti yritti erottaa hänet 2011.
7. Mahmoud Alavi (2013–2021). Rohanin hallituksen aikana. Klerkki, keskittyi mm. kybertoimintaan ja sisäiseen valvontaan.
8. Esmail Khatib (2021– ). Nykyinen ministeri, läheinen korkeimmalle johtajalle, painottaa vastavakoilua ja kybertoimintaa. Hän on kahdeksas virkaanastunut ministeri MOIS:n historiassa. Klerkki ja entinen IRGC:n tiedusteluyksikön upseeri, läheinen liittolainen korkeimmille uskonnollisille johtajille. Hänen ministerikautensa aikana MOIS:n rooli on korostunut kyberoperaatioissa ja vastavakoilussa.

Organisaation pääpiirteet

MOIS:n tarkka rakenne ei ole julkisesti tunnettu, mutta analyysit toistavat muutamia keskeisiä osa-alueita:

Ulkomaanoperaatiot

Vakoilu, vaikutusoperaatiot, verkostojen rakentaminen ja yhteistyö liittolaisryhmien kanssa.

Vastatiedustelu ja sisäinen turvallisuus

Opposition, etnisten vähemmistöjen ja uskonnollisten ryhmien tarkkailu ja kontrolli.

Kybertoiminnot

Tiedustelu, häirintä ja tietomurrot. MOIS:iin liitetty APT39/Rana-verkosto on yksi tunnetuimmista kyberryhmistä.

Analyysi ja vaikuttaminen

Psykologinen sodankäynti ja propagandan levittäminen.

MOIS tukee myös IRGC:n Quds-joukkojen operaatioita erityisesti logistiikan ja tiedustelutuen osalta.

Toimintatavat

Diplomaattinen peite ja peiteorganisaatiot

Lähetystöt, kulttuuri- ja uskonnolliset keskukset sekä valtionyhtiöiden verkostot tarjoavat tukikohtia tiedonhankinnalle ja vaikuttamiselle.

Kybertoiminta

MOIS ja IRGC tekevät tiivistä yhteistyötä kyberhyökkäyksissä. Ministeriö ja sen johtoa on asetettu Yhdysvaltain pakotelistalle kybertoimien vuoksi.

Dissidenttien ja toimittajien painostus

Valvonta, häirintä, rekrytointi- ja pelotteluyritykset sekä joissakin tapauksissa väkivalta. Tätä toimintalinjaa on dokumentoitu laajasti länsimaissa.

Yhteistyö rikollisverkostojen kanssa: Tarkoituksena on vahvistaa uskottavaa kiistettävyyttä ja laajentaa operatiivisia kyvykkyyksiä ulkomailla.

Toiminta maailmalla

Lähi-itä ja naapurusto

Iranin naapurimaissa (Irak, Syyria, Libanon, Turkki) MOIS toimii yhdessä IRGC:n kanssa. Sen rooli on tiedustelu, logistiikka ja peiterakenteiden hyödyntäminen.

Eurooppa ja Pohjois-Amerikka

Toiminta kattaa vakoilun, vaikuttamisen, häirinnän ja kyberoperaatiot. Kohteina ovat usein toimittajat, toisinajattelijat, juutalaiset kansalaiset sekä virkamiehet.

Afrikka ja Latinalainen Amerikka

Toiminta vaihtelee diplomaattisesta ja kaupallisesta läsnäolosta tiedustelu- ja vaikutusverkostoihin.

Kyberympäristö (globaalisti)

MOIS:iin liitetyt ryhmät, kuten APT39, kohdistavat hyökkäyksiä hallituksiin, yrityksiin ja kansalaisyhteiskuntaan ympäri maailman.

Rooli kyberoperaatioissa

MOIS vastaa merkittävältä osin valtion kybervakoilusta ja kybervaikuttamisesta. Se toteuttaa sekä itsenäisiä operaatioita että yhteisoperaatioita IRGC:n kanssa. Näiden kahden organisaation välillä on huomattavaa tehtävien ja vastuiden päällekkäisyyttä, mikä tekee yksittäisten kyberoperaatioiden ja APT-ryhmien täsmällisen attribuoinnin usein haastavaksi.

Tunnistetut ryhmät ja kampanjat

MuddyWater (APT34 / OilRig) on MOISin alaisuudessa toimiva ryhmä, aktiivinen ainakin vuodesta 2018. Hyökkäyksiä on kohdistettu hallituksiin, puolustussektorin organisaatioihin, telekommunikaatioalaan, energiateollisuuteen ja paikallishallintoon Aasiassa, Afrikassa, Euroopassa ja Pohjois-Amerikassa.

UNC1860 on MOISiin linkitetty ryhmä, joka on toiminut erityisesti Lähi-idässä. Kohteina ovat olleet Iranin naapurimaat (mm. Irak, Jemen) sekä useat länsimaiset hallitukset ja yksityissektorin toimijat.

MOISin toiminnan tavoitteet vaihtelevat tiedustelusta ja poliittisesta vaikuttamisesta aina kriittisen infrastruktuurin häirintään ja sabotaasiin.

Käytetyt menetelmät

Spear-phishing ja haittaohjelmat, joita käytetään tapana tunkeutua järjestelmiin kohdennettujen viestien ja haitallisten liitetiedostojen kautta.

Haavoittuvuuksien hyväksikäyttö (CVE), kohteena mm. Check Point-, F5-, Palo Alto- ja Pulse Secure -laitteet.

Pysyvyys ja käyttöoikeuksien hankinta tavoitteena paikallisten käyttäjätunnusten luonti, web-shellien asentaminen ja PowerShell-skriptien muokkaaminen järjestelmien hallinnan säilyttämiseksi.

Ransomware- ja “hack-and-leak”-kampanjat, esimerkiksi Pay2Key-kampanja, jossa päätavoitteena ei ollut lunnasrahan saaminen, vaan operatiivinen häirintä ja varastetun tiedon julkaiseminen.

Uudet ilmiöt ja trendit

MOIS on alkanut hyödyntää tekoälyä informaatiovaikuttamisen tehostamiseen, kuten visuaalisten materiaalien muokkaukseen, esimerkiksi Iranin droonihyökkäysten kuvien manipulointiin ja propagandavideoiden levittämiseen sosiaalisen median alustoilla kuten X.

Laajeneva kansainvälinen yhteistyö, jossa Iran kehittää provinssitasolla kyberkyvykkyyksiä ja on sitoutunut syventämään yhteistyötä muun muassa Venäjän ja Kiinan kanssa kyberoperaatioissa ja teknologisessa tiedonvaihdossa.

MOIS Suomessa

Suomessa ei ole julkisesti vahvistettu MOIS:n operaatioita, mutta Supo ilmoitti vuonna 2025, että Iran kuuluu nyt ensimmäistä kertaa niiden valtioiden joukkoon, jotka harjoittavat vakoilua Suomessa. Tämä liittyy laajempaan trendiin, jossa Iranin katsotaan kohdistavan EU-maihin aiempaa vihamielisempää vaikuttamista. Toiminnan oletetaan perustuvan diplomatiaan, diaspora-yhteisöihin, peiteorganisaatioihin ja kybertoimintaan, vaikka yksittäistapauksia ei yleensä tuoda julkisuuteen.

Iranin lisääntynyt uhka Britanniassa

Yhdistyneen kuningaskunnan parlamentin tiedustelukomitea julkaisi torstaina laajan, 206-sivuisen raportin, jossa todettiin, että Iran on vuodesta 2022 lähtien lisännyt merkittävästi fyysistä uhkaansa Britannian maaperällä oleville ihmisille. Raportin mukaan tammikuun 2022 ja elokuun 2023 välillä tapahtui ainakin 15 murha- tai sieppausyritystä, jotka kohdistuivat Britannian kansalaisiin tai asukkaisiin.

Komitean puheenjohtaja, House of Lordsin jäsen Kevan Jones, kuvasi Irania "laajaksi, jatkuvaksi ja arvaamattomaksi uhaksi" Britannialle. Myös MI5:n päällikkö Sir Ken McCallum varoitti lokakuussa 2023, että viranomaiset olivat estäneet 20 “potentiaalisesti tappavaa juonta” vuodesta 2022 alkaen, joista valtaosa kohdistui Britanniassa asuviin iranilaisiin toisinajattelijoihin.

Britanniassa on myös nähty konkreettisia poliisioperaatioita. Toukokuussa 2024 terrorismintorjuntapoliisi pidätti kahdeksan miestä, joista seitsemän oli iranilaisia. Pidätykset liittyivät kahteen erilliseen salaliittoon, joista yksi kohdistui Israelin Lontoon-suurlähetystöön. Iran kiisti osallistuneensa tapaukseen ja kutsui syytöksiä "perättömiksi".

Länsimaiden yhteinen vastaus

Torstaina 31.7.2025 yhteensä 14 länsimaata, mukaan lukien Suomi, julkaisivat alla olevan yhteislausunnon, jossa tuomittiin Iranin tiedustelupalveluiden toiminta niiden alueilla.

Yhteinen julkilausuma Iranin valtion uhkatoiminnasta Euroopassa ja Pohjois-Amerikassa

Yhdysvallat, Yhdistynyt kuningaskunta, Albania, Itävalta, Belgia, Kanada, Tšekki, Tanska, Suomi, Ranska, Saksa, Alankomaat, Espanja ja Ruotsi tuomitsevat Iranin tiedustelupalveluiden alueillamme kasvavat valtiolliset uhkat.

Olemme yhtenäisiä vastustaessamme Iranin tiedustelupalveluiden yrityksiä tappaa, siepata ja häiritä ihmisiä Euroopassa ja Pohjois-Amerikassa, mikä on selkeä loukkaus suvereniteettiamme vastaan. Nämä palvelut tekevät yhä enemmän yhteistyötä kansainvälisten rikollisjärjestöjen kanssa kohdistaakseen iskut toimittajiin, toisinajattelijoihin, juutalaisiin kansalaisiin sekä nykyisiin ja entisiin virkamiehiin Euroopassa ja Pohjois-Amerikassa. Tämä on mahdotonta hyväksyä.

Pidämme tällaisia hyökkäyksiä kohteesta riippumatta suvereniteettimme loukkauksina. Olemme sitoutuneet työskentelemään yhdessä estääksemme näiden toimien tapahtumisen ja kehotamme Iranin viranomaisia lopettamaan välittömästi tällaiset laittomat toimet alueillamme. Lähde: (state.gov/ 31.7.2025)

Kansainvälisen tilanteen kiristyminen

Yhteislausunto julkaistiin tilanteessa, jossa lännen ja Iranin väliset jännitteet olivat jo ennestään korkealla. Israelin 12 päivää kestänyt sota Irania vastaan viime kuussa sekä Yhdysvaltain osallistuminen pommituksiin Iranin ydinkohteita vastaan kärjistivät tilannetta merkittävästi.

Lisäksi länsimaiden huoli on kasvanut Iranin päätöksestä myydä aseistettuja droneja Venäjälle, joka käyttää niitä sodassaan Ukrainaa vastaan. Tämä yhdistää kaksi konfliktirintamaa, Lähi-idän ja Euroopan tavalla, joka heijastuu suoraan myös länsimaiden sisäiseen turvallisuuteen.

Iranin näkökulma

Iran puolestaan kiistää kaikki syytökset. Ulkoministeriön tiedottaja Esmaeil Baqaei kuvasi länsimaiden lausuntoa "perättömäksi" ja syytti sitä huomion siirtämisestä pois Palestiinan kriisistä. Iranin mukaan länsi liioittelee ja vääristelee sen tiedustelutoimintaa osana poliittista painostusta ja kansainvälistä valtapolitiikkaa.