一项大规模的疗法黑客攻击显示了患者档案有多不安全 - 彭博社

Drake Bennett

2024-04-22

基维马基在监狱里被拍摄。

摄影师：Juuso Westerlund，彭博商业周刊库尔布瓦郊区位于塞纳河左岸的巴黎西部。这里是拉德芬斯（La Défense）的所在地，这是一片摩天大楼林立的地区，从城市中可见，形成了从卢浮宫一直延伸到香榭丽舍大街，再穿过凯旋门的宏伟轴线的遥远而不起眼的终点。离库尔布瓦的办公大楼仅几步之遥，在2023年2月3日早上7点20分，当地警察来到了一栋现代米色公寓楼的短期租赁房。他们是在回应一起家庭暴力报警。

在公寓外，警察遇到了打电话报警的年轻女子。她告诉他们，她的朋友和朋友的丈夫在里面。前一晚，三人在夜店玩得很晚，丈夫喝醉了。据女子说，他们发生了争执。现在她担心她的朋友处于危险之中。警察敲门，没有人回应，于是他们用破门锤把门撞开。

警察在房内发现的男人和女人似乎正在从深夜的疲惫中恢复过来，尤其是男人，被他们的到来惊醒，但没有暴力迹象。这对夫妇出示了罗马尼亚护照。然而，这名男子听起来或看起来并不像罗马尼亚人。根据他的护照，阿桑·阿梅特（Asan Amet）是他的一个已知化名，他是一个芬兰网络犯罪分子，名叫亚历山大·基维马基。警察逮捕了他。

Kivimäki，年仅20多岁，在世界黑客圈中已经是十年的名人。他以才华、专注和创造性残忍而闻名。多年前，他因一系列引起轰动的数据侵犯和骚扰活动而被定罪，这些活动始于他的少年时代。然而，他最新被指控的网络攻击远远超过了以往。以受害者人数衡量，这是芬兰历史上最大的犯罪。据称，Kivimäki被指控黑客入侵并企图勒索一家全国连锁的心理治疗诊所，并在此过程中将一大批患者数据发布到互联网上。除了典型的身份欺诈材料——社会安全号码、电话号码、住址和电子邮件地址之外，这些数据还包括数以万计的人们最内心的秘密，许多情况下，这些秘密只有他们向心理治疗师坦白过。结果是一场全国性的创伤，一位著名的芬兰政治家将其比作恐怖袭击。

检察官帕西·瓦伊尼奥和博-尼克拉斯·隆德奎斯特在Kivimäki的审判中提出了一个时间表。摄影师：彭博商业周刊的尤苏·韦斯特伦德在他的审判期间，从去年11月到3月初，Kivimäki一直坚称自己是无辜的。他辩称调查人员和检察官之所以将他与其他潜在嫌疑人区分开来，是因为他的名声，而不是证据。“他们说，‘嗯，我们认识这些人中的一个，’”他告诉我。“‘我们以前调查过他，他来自芬兰——好吧，就是这家伙干的。’”

无论是谁发动了这次攻击，不过，他们都是按照 Kivimäki 帮助创建的一本教科书来行事的。网络犯罪是一门生意，由匿名团伙在最高层次上实践，他们培养出一种专业的形象——他们需要你相信，如果你支付了勒索，他们会遵守承诺。绝大多数他们从未被抓获。但这种模式与一种更为幼稚、表演性的倾向存在紧张关系，后者以震惊和臭名为成功的衡量标准。将这两者结合起来，正如 Kivimäki 在他的职业生涯的不同阶段尝试做的那样，既带来了名声和财富的前景，也造成了一种易燃的混合物。

Kivimäki 在赫尔辛基西部的邻居埃斯波长大，那里是一个遍布办公园区和独立住宅的大型市政区。诺基亚公司的总部就在那里，在 Kivimäki 最早的几年里，该公司正在用其糖果棒手机征服世界。如今，由于 iPhone 的出现，诺基亚已经不再是当年的巨头，但它的兴衰留给芬兰一个与其 550 万人口不相称的庞大科技公司和企业家群体。

在童年和青少年时期，Kivimäki 以他的中间名朱利叶斯为人所知。他从3岁开始就开始玩家庭电脑。到了十几岁，他已经在互联网中继聊天论坛上以“zeekill”等代号建立了自己的声誉，这些论坛对于黑客和模仿他们的年轻人来说是一种原始社交媒体。了解他的家庭情况很困难，Kivimäki 本人也不愿意谈论他们，但有证据表明他的父母担心他的发展方向，并曾试图未果地推动他走向更传统的科技职业。Kivimäki 没有从中学毕业，也没有上大学。

Kivimäki经常访问的IRC论坛之一是一个名为Hack the Planet的团体。这个名字是来自于1995年的一部营地经典电影《骇客》中的一句话，讲述了一群叛逆的赛博朋克天才。（年轻的安吉丽娜·朱莉饰演“Acid Burn”）。该论坛的成员侵入了企业网络，最好是科技巨头或网络安全公司的网络，并发布他们能找到的任何东西。像赛门铁克（Symantec）和图像托管服务ImageShack这样的公司发现自己成为了Hack the Planet的目标，竞争对手黑客的个人信息也被发布在HTP的数字杂志中。“那只是孩子们玩耍而已，”Kivimäki今天说。但正如这些团体迅速指出的那样，揭露值得信赖的数字系统的安全漏洞并让守护者感到羞愧以做得更好是有社会益处的。科技公司开始支付数以万美元计的“漏洞赏金”给向他们报告此类漏洞的黑客。

大约在2011年，当Kivimäki 14岁时，他和一位名叫Blair Strater的美国少年就下一期Hack the Planet的杂志应该由谁的网站托管展开了激烈的争论。事情升级了，双方发出了各种威胁，最终他们两人都被踢出了这个团体。

Strater在自己的回忆中，经常在网上与人争吵。“说到底，我只是一个在互联网上表现得很烦人的自闭症孩子，”他现在说。他没有料到Kivimäki。首先，披萨和中餐被送到了Strater与父母和妹妹一起住在伊利诺伊州奥斯威戈的家里。当订单送达时，上面写着“请找朱利叶斯·Kivimäki”。然后一辆卡车送来了三吨碎石倾倒在家庭车道上。家里的互联网和电力被冒充家庭成员的人关闭了。有一次，黑客接管了特斯拉公司的官方Twitter账号，发布了Strater家的电话号码和地址，并表示任何打电话或前往他们家的人都会得到一辆免费汽车。

骚扰持续了多年，情况变得更加黑暗。Strater开始定期接到电话威胁。当地警察被 crank-called 到家里超过 20 次——“swatting” 正变得足够流行，以至于有了一个名字。在 2013 年的一次电话中，声称是 Strater 的自动文本转语音程序的机器人声音说他谋杀了女友并计划杀死父母并“炸毁整个街区”。由于一个使用他的在线用户名之一的电子邮件地址发送了一封炸弹威胁给当地警察侦探，Strater 在少管所度过了三个星期。他的母亲，一位生物统计学家，在她的社交媒体账户被黑客攻击后失去了工作，然后充满了种族主义和反犹太主义的咆哮。

折磨 Straters 只是 Kivimäki 当时的一个项目。他找到了一群新的伙伴，其中许多人聚集在 Darkode，这是一个用于恶意软件、窃取数据和黑客服务的在线市场。其中之一是 Vinnie Omari，一个二十多岁的英国人，他与能够完成工作的人匹配。工作范围从修补服务器安全漏洞到监视可疑配偶，再到大规模窃取网站数据，而中间人的分成，Omari 说，每次可能达到数万美元。

Kivimäki 和 Omari 几次一起出去玩，包括在阿姆斯特丹，一起吸大麻和外出吃饭。然而，他们之间的大部分关系是在线的，在那里他们花了数小时玩 魔兽世界 和 英雄联盟。Omari 说，Kivimäki 有一个着迷的一面。通常，Kivimäki 和他的在线朋友选择方便的目标。“如果他们不进行报复，那么 Julius 会感到无聊，”Omari 说。“然后我们就转向新的目标。”但是如果有人反击，Kivimäki 可能会变得固执，并一次又一次地追击他们。

在这个时候，多个执法机构都在了解Kivimäki的情况。2013年夏末，他飞往拉斯维加斯参加黑帽网络安全大会。一位Hack the Planet成员也在那里，住在贝拉吉奥酒店，两人在他的房间里聊天时，有六名FBI特工敲门。特工们简短地采访了Kivimäki，“只是一些广泛的基本问题”，他回忆道，并没收了他的手机。当Kivimäki回到自己的酒店房间时，特工们也在那里等着。他说，他们拿走了他的笔记本电脑，并告诉他“永远不要再来这个国家”。他确信HTP中有人在与联邦调查局合作。

几周后，2013年9月23日，Kivimäki在埃斯波的家中，父母外出时，赫尔辛基警察带着搜查令到达。他的名字出现在一起持续进行的网络犯罪案件中。Kivimäki被拘留，连同他的电脑，一台宏碁Aspire台式机。警方在电脑上发现的东西与他们正在调查的其他案件没有关联。然而，这些发现强烈暗示了多起其他犯罪。一名法官认为，如果允许其自由，Kivimäki可能会销毁证据甚至继续他的犯罪活动，于是将他关进监狱。

网络犯罪调查员安蒂·库里图。摄影师：Juuso Westerlund，彭博商业周刊安蒂·库里图（Antti Kurittu）是该案件中的一名警方调查员。“我们会花上半天时间搜查他的电脑，”他说，“然后我们会花剩下的时间与他交谈。” 这些对话并没有什么成果，但在基维马基（Kivimäki）的硬盘上，警方发现了一些文件，文件名充满了种族主义和粗俗的内容，证据显示他和其他“黑客星球”成员在5.07万台计算机服务器上安装了后门，利用了Adobe软件平台ColdFusion的一个漏洞。在一次攻击中，基维马基和可能还有其他人已经侵入了美国非营利组织Educause的计算机系统，该组织负责管理“.edu”域名。利用这个访问权限，基维马基将来自麻省理工学院服务器的流量路由到哈佛大学的服务器，导致两者都崩溃。然后，基维马基将通过麻省理工学院服务器传递的所有电子邮件流量重定向到他控制的服务器。

在其他攻击中，密码、信用卡信息和其他个人数据已经从受损服务器中被获取。然后这些服务器被同步到了一个僵尸计算机军团中，这是一种可以用于发动分布式拒绝服务（DDoS）攻击的计算机军队，通过向其发送大量流量来使其他服务器和网站崩溃。然而，对库里图来说，硬盘的内容也显示了这位年轻黑客能力的局限性。基维马基很可能并没有创建他使用的任何恶意软件。他的电脑上存储了各种病毒，但没有一个的源代码。

在接下来的一年里，基维马基一直在警方拘留所里进进出出。他有时会在监狱里度过几周的时间。在这些间隔期间，他继续之前的行为。在2014年夏天，他和一些Darkode的熟人发起了一系列攻击，关闭了英雄联盟服务器，然后瞄准了微软的Xbox、索尼的PlayStation和Twitch，这是一家受游戏玩家欢迎的直播网站。作为赎金，攻击者会在Twitter上要求知名主播发布自己额头上写有“蜥蜴小队”（他们松散关联的团伙名称）的照片。游戏和社交媒体已经融合，创造了一种新的公开表演形式。基维马基和他的朋友们决定黑客行为也应该成为其中之一。

对个人的攻击也在继续。Kivimäki领导了一场针对一名同行黑客、一名调查过他的FBI特工家人以及康涅狄格州诺沃克的一名与他断绝联系的女孩的"swatting"活动。在那通电话中，Kivimäki冒充女孩的父亲，声称自己携带重型武器且有自杀倾向，挂断电话时还能听到他模拟枪声。约翰·斯梅德利，索尼在线娱乐公司总裁，成为了一个常被攻击的目标。2014年8月，这位直言不讳的视频游戏高管在推特上发文称即将飞回圣地亚哥，Kivimäki通过冒充他打电话给航空公司，得知了斯梅德利的美国航空公司航班信息。然后Kivimäki再次打电话，再次冒充斯梅德利，声称有理由相信有人冒用他的护照和机票登上了飞机。他提醒客服代表关注了@lizardsquad发的一条推文，称飞机上有炸弹。美国安全机构的极端主义倾向再次助长了这伙人的嚣张气焰。两架战斗机在飞机中途与之相遇，飞机被重新定向到凤凰城，FBI特工对斯梅德利进行了询问。对于这个故事，他拒绝置评。

公开来说，Lizard Squad口头上支持白帽黑客理念，但该团似乎更感兴趣的是上演一场无政府主义的表演。2014年圣诞节，Lizard Squad通过DDoS攻击关闭了Xbox Live和PlayStation Network的服务器，暂时阻止了任何刚刚拆开包装的游戏主机的使用。Kivimäki自称为"Ryan"，接受了英国Sky News的电视采访。“我不能说我感到内疚，“他说着抑制着笑容。“我可能迫使一些孩子与家人共度时光，而不是玩游戏。“当被问及为什么团伙这样做时，他说这是为了"提高人们对糟糕网络安全的认识"和"取悦自己”。

2015年7月，芬兰地方法院判处Kivimäki洗钱罪、多项欺诈罪、网络欺凌和50,700起严重数据侵犯罪。除了哈佛和麻省理工的黑客事件外，他还被发现储存并使用了盗窃的信用卡信息。但由于他是未成年犯罪，判决相对宽容，即使按照芬兰标准来看也是如此。国家没收了他的宏碁电脑，并强迫他放弃了6,588.88欧元（约7,000美元）。他被判有期徒刑，但可以自由离开。“那个垃圾东西让我的飞机坠毁，泄露了我的信息，并对我做了各种破坏，”愤怒的Smedley在第二天发推文说。不久之后，他的新公司Daybreak Games遭遇了DDoS攻击。

Kivimäki将他的Twitter简介改为“无法触及的黑客之神”。他离开芬兰，去了巴塞罗那，然后伦敦，在那里为他的女友和自己租了一对豪华公寓——其中一个位于威斯敏斯特，就在间谍机构MI5总部附近。他去了迪拜、香港、捷克共和国和罗马尼亚。他参观了尼泊尔和法国阿尔卑斯山。在某个时候，他结婚了。

在第一次定罪将近五年后，Kivimäki再次接受审判，这次是因为骚扰活动。FBI大部分搜集的证据都交给了芬兰国家调查局（NBI），其中包括Lizard Squad成员之间的电话录音和IRC聊天记录。这些证据显示了Kivimäki轻松提取敏感信息的惊人方式。有一次，作为对Lizard Squad的攻击的回应，Smedley在网上宣布他从Lifelock Inc公司获得了身份盗窃保护。Kivimäki打电话给Lifelock，声称自己是Smedley。在审判提交的通话录音中，客服代表问Kivimäki一系列安全问题，他全都答错了。尽管如此，在对话结束时，他被允许为账户创建新密码，使他能够登录并查找到Smedley的银行详细信息。

被问及为什么这个团体这样做，他说这是为了“提高人们对糟糕网络安全的认识”和“取悦自己”

2020年6月，Kivimäki再次被判有罪，接受了另一项缓刑监禁刑罚，并被要求支付数千美元的赔偿金。然后他消失在公众视野中。但是，有人非常类似于他，在Hacker News的评论部分留下了大量他的思想记录。在那里，一个自称为ryanlol的发帖者经常讨论数字货币、Covid-19政策以及犯罪伦理和战术。“你严重高估了区块链分析工具的能力，”当一位对话者警告执法部门能够追踪加密支付时，他回答道。“如果恶作剧电话报警应该受到比罚款更严厉的惩罚，”他在2017年回复道，“那么你生活在一个非常糟糕的社会，应该先专注于解决这个问题。”他在2020年10月写道，被黑客勒索数据的机构有义务支付。拒绝支付是“不道德的”。

被问及此事，Kivimäki否认以ryanlol的身份发帖，尽管这与他在警方审讯中承认的内容相矛盾，并且很难与2017年的一篇帖子相符，其中ryanlol详细描述了自己的个人犯罪记录，包括“对计算机系统的5万700次未经授权访问”。Ryanlol将自己描述为无政府主义者评论员和奢侈生活方式影响者的结合体。他描述了如何编程使他的计算机关闭，擦除当局可能想要的证据，只要他拉出插在3.5毫米插孔中的耳机制作的“杀死开关”。他为乘坐阿联酋航空头等舱的旅行者提供了建议（“在降落前立即预订淋浴，然后在下飞机时感觉清新愉悦”），并提到“在世界上一些最好的监狱中度过了一些时间”。他详细描述了他开设高端旅行社的雄心。2021年11月的一篇帖子将他的一些兴趣结合成一个超越传统的计划：“一个恐怖组织可以让他们的一个特工在头等舱上花费一百万美元，”他沉思道。一旦策划者们获得了超级VIP航空公司地位，“请求像在起飞时看驾驶舱这样的事情就变得非常容易了。”

“金钱杀死了黑客团体，” ryanlol 在2021年春天写道。“我想加密货币的兴起应该为给最后一击负责。” Hack the Planet 的创始人“当时还是孩子”，他声称，“我们中很少有人关心金钱。” 但现在不再是这样了。比特币以其不可追踪的支付承诺，使得利用数据泄露轻而易举地获利成为可能。“很明显为什么再也没有人再制作小册子了。”

Kivimäki 在互联网的某个年轻男性圈子里成为了名人。网络安全公司 Unit 221B的首席研究官 Allison Nixon 称他为一种文化创新者。“这个家伙对在线孩子们的恶劣影响程度非常显著，”她说。在她监控的留言板和聊天室中，Lizard Squad 仍然有一种神秘感，近年来，新的团伙接过黑客恶作剧的大旗。其中之一，Lapsus$，在2021年至2023年间负责了一系列攻击。像 Lizard Squad 一样，它瞄准了流行的游戏品牌，并公开嘲笑受害者，最大程度地吸引注意力，同时也给调查人员留下了线索。

2020年9月28日晚上，一个星期一，Ville Tapio 在家里赶上了当天积累的电子邮件。Tapio 是一个长着樱桃眼的前管理顾问，穿着像符号学教授一样，至少在英语中讲话非常谨慎。他住在赫尔辛基东部群岛中形成的数百个岛屿之一上。当时他是芬兰最大的心理治疗服务提供商 Vastaamo 的首席执行官。

前Vastaamo首席执行官维勒·塔皮奥在审判中。摄影师：艾米·科尔霍嫩/莱赫蒂库瓦芬兰在世界幸福报告中多年来一直名列前茅，但芬兰人也像其他人一样遭受心理疾病的困扰。塔皮奥的母亲是一名心理治疗师，2008年他共同创立了Vastaamo，他希望让她所做的工作在他的国家更广泛地可获得并减少社会污名。Vastaamo积极营销自己，在购物中心开设诊所，并帮助制作了一档名为Kummalliset kammot（“奇怪的恐惧”）的全国电视真人秀。对于招募的治疗师，它提供了摆脱私人执业的行政烦恼以及一个直观的网络应用程序，在那里，他们可以在每个会话上写下详细的笔记等。忠于他的使命，塔皮奥特意将位置设在芬兰一些较为偏远的地区。Vastaamo迅速发展，2019年，私募股权公司Intera Partners以约1100万美元的价格购得了大部分股份。

周一晚上查看电子邮件时，塔皮奥惊讶地发现其中一封是勒索信。发件人自称是一名黑客，并声称已窃取了Vastaamo的患者数据库。邮件的其余部分是用英语写的。“无论您支付我们任何价格，都将远远小于如果我们在互联网上发布这些信息将给您的业务造成的损害，”邮件写道，然后以更为殷勤的第一人称声音结束：“如果您有任何问题或难以理解正在发生的事情，我会在这里帮助您。”

阅读电子邮件时，塔皮奥注意到其中的芬兰语有些问题。它在语法上是不正确的，但不像非母语使用谷歌翻译时那样。这种笨拙让他觉得是故意的，一种虚假的不流利感。“就像出自喜剧一样，”塔皮奥说。

勒索邮件还发送给了瓦斯塔莫公司的另外两名员工：数据保护官萨米·凯斯基宁和软件开发人员伊拉里·林德。在塔皮奥家吃披萨时，他们三个迅速确定了附在勒索邮件中的患者记录样本是真实的。塔皮奥联系了一家名为Nixu的芬兰网络安全公司。正好，那里的一位主要调查员是安蒂·库里图，他几年前离开了赫尔辛基警察局。他的团队开始努力确定数据泄露是如何发生的。他还联系了芬兰国家调查局，让他们接管了勒索谈判。

最初，谈话继续通过塔皮奥进行。“我们不与罪犯谈判，”他按照指示回应了勒索通知。“如果你公开这些数据，我们将追究法律责任。”勒索者的回应也是用英语，在几个小时内就到了：“我理解你的立场，但这不是谈判。” 他们继续说，瓦斯塔莫未能保护患者和治疗师托付给它的私人信息。“未能阻止这些极其敏感细节的发布将是一个更大的失败。” 勒索金额是40比特币，当时约合43万美元。

受害者Mia Marttiini在家中。摄影师：Juuso Westerlund为彭博商业周刊正如Nixu的调查所揭示的那样，Vastaamo极其粗心大意。其数据库实际上在15个多月的时间里完全暴露在互联网上。公司网络的防火墙已被禁用，保存患者信息的服务器周围的另一个防火墙也被禁用。最令人发指的是，系统管理员帐户上没有设置密码。使用帮助黑客发现互联网连接设备的专用搜索引擎之一的任何人都可以轻松登录Vastaamo的系统并复制他们找到的所有内容。

实际上，Vastaamo至少发生过两次违规行为，很可能是不相关的。其中一次发生在2019年，当Tapio正在与Intera Partners就公司股权进行谈判时。（在那次攻击中没有窃取数据。）当这一情况在Nixu的调查中曝光时，Tapio迅速被解雇，私募股权公司起诉要废除交易。然而，根据Tapio的说法，安全漏洞也对他隐瞒了。当他得知这些漏洞时，让他怀疑这次违规是否是内部人员所为。

多年前，Keskinen和Lind，勒索信的另外两名收件人，曾因与另一起事件有关而接受刑事调查，这是他们在Vastaamo努力应对自身危机时告诉Tapio的。然而，在早期事件中，这两名男子并未被起诉，根据Vastaamo案件检察官的说法，没有证据表明他们中的任何一人参与了勒索企图。（他们都没有回应有关此故事的评论请求。）这说明了公司安全实践的一些原因，可能是懈怠和懒惰的结合 - 没有管理员密码或防火墙会使Vastaamo的IT人员更容易远程工作。两年半后，Intera的诉讼将以不公开的条款达成和解。

在勒索要求之后的几周，菲律宾国家调查局的调查人员继续与勒索者进行谈判。他们发送了情绪化的电子邮件，假扮成Tapio，恳求公司得以幸免。作为一个姿态，他们向与勒索通知书相关联的钱包地址发送了0.1比特币。

10月21日早上，黑客采取了新的策略，并给自己取了一个名字。一个帖子出现在一个名为Torilauta的芬兰语暗网论坛上，用户名为ransom_man。 ransom_man写道，Vastaamo停止回复电子邮件，为了推动事情的发展，他已经在一个特殊的泄漏网站上发布了100份患者记录。正如数据勒索行动中的标准做法一样，该网站位于暗网上，在常规网络浏览器和搜索引擎中是看不到的，但任何使用特殊匿名化Tor浏览器的人都可以查看。 ransom_man承诺每天向该网站上传100份记录，直到赎金被支付。帖子以“尽情享受！” 结束。在下面是一个标有“新闻联系人”的电子邮件地址。

几个小时后，在一个声誉不佳的芬兰右翼留言板Ylilauta上，以及在Reddit上出现了类似的帖子。其他帖子中直接复制了患者记录。与泄漏网站上的记录不同，这些记录对任何有互联网连接的人都是可见的。它们似乎是一种最大影响的预告片。对ransom_man设备的数字取证后，将揭示他用于在数据库中查找这些记录的搜索词。一些词汇，如“首席执行官”、“著名”和“警察”的芬兰语词汇，暗示了他正在寻找的患者类型。其他词汇，如“强奸”、“恋童癖”和“强奸幻想”，则暗示了他寻找的内容。这些预告片帖子，包括患者姓名，都是这些搜索的结果。

二十小时后，当第二批记录出现在泄漏网站上时，芬兰和其他地方的网络安全专业人员正在监视。Nixu团队设置了一个软件脚本，每小时检查网站并抓取任何新数据。第三天，10月23日，勒索者在赫尔辛基时间午夜后不久上传了另外100份患者记录。但是，几个小时后，泄漏网站上又出现了另一个文件。这是超过30,000份记录——所有从Vastaamo获取的数据。

如果目标是震惊和恐吓国家，勒索者已经成功了。大规模泄漏的消息在芬兰媒体中爆炸开来。“每个人都认识一个认识一个”在其中的信息，芬兰领先的网络安全研究员Mikko Hyppönen说。芬兰总理桑娜·马林召集关键部长开会讨论政府的应对措施。芬兰总统将这次攻击和泄漏描述为“无情的残忍”。即将成为该国卫生和社会事务部长的议员汉娜·萨尔基宁将其比作“一种恐怖主义行为”。

在芬兰，“每个人都认识一个认识一个”他们的治疗记录被泄露了

然而，如果目标是为了得到赎金，勒索者所做的事情毫无意义。暴露几百名患者作为致命认真的证据具有明显的、虽然是反社会的逻辑。但是发布整个数据集消除了Vastaamo支付的任何动机。库里图开始怀疑这是否是一种误导调查人员的诡计。然后他开始怀疑这是一个严重的错误。

10.9千兆字节的文件出现几个小时后，带着一个俏皮的消息消失了，“糟糕 :D”。然而，那时，多名调查人员已经至少下载了部分文件，并通过仔细审查命令历史记录，NBI团队对发生的事情有了更清晰的认识。勒索者在手动上传了前三批患者信息后，开始着手自动化这个过程。但他编写的脚本很粗糙，并且没有进行试运行。在约定的时间开始行动时，他的程序将运行的服务器的整个主目录上传到了泄露网站上。“要犯这种错误，你必须既无知又傲慢，”Hyppönen说。

还有其他线索。Kurittu在无意中泄露的主目录中查找时注意到，许多文件名是淫秽或侮辱性的，其中一个提到了ColdFusion。他想起了七年前他检查过的那台宏碁台式机。“我只知道一个人会给文件取这样的名字，”他记得当时的想法。

在错误上传后的两天，勒索者开始给瓦斯塔莫(Vastaamo)的个别患者发送电子邮件。用芬兰语，他提出以200欧元的比特币价值删除他服务器上的患者记录作为交换。（24小时后价格将上涨到500欧元。）这些电子邮件似乎是为了从这个宝库中挽回一些东西。在某种程度上，它们也是一种创新。黑客通常勒索公司，而不是他们的客户。与成千上万的个人联系和谈判远不如效率高。如果一群专业的网络犯罪分子犯了这样的错误，他们很可能会选择离开。不管这是谁，他们更加固执或者更加绝望。

Jenni Raiskio，一位律师，其公司代表受到Vastaamo数据泄露影响的成千上万人。摄影师：Juuso Westerlund，为彭博商业周刊拍摄事实证明，不可信任。一些Vastaamo患者确实支付了赎金，但他们的数据从未被清除。即使勒索者本意是这样，很快就变得不可能。调查人员已经开始没收他的服务器。在勒索者的家目录中发现的IP地址立即将芬兰国家调查局(NBI)引向赫尔辛基附近的一个服务器农场。调查人员接管了那里的一台服务器，然后接管了另外两台与数据泄露有关的服务器，并开始仔细研究这些机器的通信日志。

尽管取得了这一早期突破，数月过去了仍未逮捕任何人。与此同时，芬兰政府试图安抚其公民。它关闭了一个漏洞，使Vastaamo基本上免受该国健康数据保护法律的约束，并且在2021年12月对该公司处以60.8万欧元的罚款。然而，到那时，Vastaamo已经申请破产并将其诊所出售给一家职业治疗连锁机构。前首席执行官Tapio后来因违反欧盟的《通用数据保护条例》被判处三个月缓刑监禁。他对这一决定提出上诉，上诉法庭审判定于明年举行。

没有任何事情可以让受害者找回他们的秘密。自数据泄露以来，患者数据库的副本已经出现在文件共享网站上。2021年夏天，一名匿名编码者甚至创建了一个搜索引擎，使这些宝藏可以通过姓名进行搜索。对于那些已经容易抑郁、焦虑或者正在应对过去创伤的人来说，这种暴露以及永远无法真正结束的感觉，只会加剧最初导致他们来到Vastaamo的症状。“对于我们所有人来说，我们都有这个终身判决，”59岁的设计师Mia Marttiini说。Jenni Raiskio是一家代表2600名受害者的芬兰律师事务所的律师。其中一些人，现在受到恐惧和不信任治疗的影响，已经停止就诊。其他人失去了工作。Raiskio说，一些人被逼自杀。

2022年10月29日，在勒索企图失败两年后，芬兰检察官Pasi Vainio签署了对Kivimäki的逮捕令。怀疑他仍在国外，芬兰警方将他列入欧洲刑警组织的通缉名单，公开了他的名字。芬兰媒体通常不会公布嫌疑人的名字，但在这种情况下却大声做出了例外。尽管如此，Kivimäki继续在欧洲各地旅行。根据他在审判中提交的Instagram视频，他和一些朋友曾在圣特罗佩度过一段时间。

当局最终在巴黎外找到Kivimäki时有一定的讽刺意味。根据Kivimäki的说法，他妻子的朋友在Courbevoie向警方提供线索是为了报复他。他说，在一起夜店后，这位朋友失控并变得越来越吵闹，最后他把她赶出了公寓。然后她打电话给警察，指控他殴打妻子。如果Kivimäki的说法属实，而法国法院文件中的细节至少部分符合他的说法，那么他最终被找到并被拘留是因为有人愚弄警察前去他的门口。换句话说，他被恶作剧了。

2023年2月底，Kivimäki被引渡到芬兰，并被关押在赫尔辛基以北半小时车程的万塔监狱。除了技术上的不透明性，起诉网络犯罪的一个巨大挑战在于证明在执行特定命令时谁在键盘前。根据领导此案的芬兰国家调查局侦探总监Marko Leponen的说法，瓦斯塔莫调查也不例外。“从犯罪到嫌疑人的路径并不是一条直线，”他说。但有很多联系。“这是一个蜘蛛网，而在这个网的中心是Kivimäki先生。”

第一条线索出现在被没收的服务器的通信日志中。在意外数据泄露后，控制那些服务器的人将内容复制到其他地方，然后尽可能地擦除了大部分内存。但在此之前，那个人一直小心地通过使用虚拟专用网络来掩饰他们的IP地址，但那一次，也许是出于匆忙或恐慌，他们在没有VPN的情况下登录了。其中一个服务器记录的未经掩饰的IP地址注册在Kivimäki的两个伦敦公寓之一。Kivimäki曾使用同一IP地址进行在线支付，包括一笔用于酒店住宿的支付和另一笔支付给一个OnlyFans创作者的支付。

通信日志中的另一个IP地址被追踪到巴塞罗那的一间公寓，该公寓租给了一个名叫Daniel Fulgescu的人。这似乎是Kivimäki的另一个罗马尼亚化名。检方称，这是Kivimäki开的一辆宝马7系轿车的注册名称。一辆这辆车的照片，包括车牌，被“Aleksanteri K”发布在对一家高端巴塞罗那汽车美容店的五星好评中。（Kivimäki否认这辆车是他的。）

服务器日志还导致NBI找到了一组由一家咨询公司租用的不同服务器。这家名为Scanifi的公司向在线发现的数据库所有者提供网络安全服务。该公司的联合创始人是Kivimäki，他支付了租用这些服务器的费用。Scanifi的一个服务器被配置为多个较小的虚拟服务器，其中包括一个内容被加密的服务器。当调查人员设法破解加密时，他们发现了ransom_man的主文件夹的副本。“这是一个完全的复制品，”Vainio说，“用于犯罪的服务器的确切副本。”

也许最大的突破是，调查人员确定了谈判代表向最初勒索要求中的钱包地址支付的0.1比特币的最终去向。控制那个钱包的人首先将比特币转换为Monero，一种被认为由于内置在其区块链中的特殊混淆措施而难以追踪的加密货币。根据NBI的说法，Monero随后被转移到加密交易所Binance的一个账户，并再次转换为比特币。其中一部分资金最终进入了Kivimäki拥有的银行账户。

尽管调查报告删除了关键细节，但NBI的Leponen表示，Monero跟踪和Scanifi服务器的解密在很大程度上依赖于案件中可用的其他证据。意外上传对调查人员来说是一份难得的礼物。在ransom_man的主文件夹中，除了记录了他勒索了数以万计患者的声誉的记录外，还存储了他自己的信息。其中包括一些他的登录凭据，以及有关其他人的一些提示。

基维马基在法庭上。摄影师：Juuso Westerlund，彭博商业周刊去年11月13日，在他曾经的故乡埃斯波全新的地方法院，基维马基的第三次审判开始了。指控包括“严重的计算机入侵”、私人信息的传播、20项勒索罪（对于那些徒劳地支付赎金的患者）以及21316项企图勒索罪。芬兰的刑事被告大多数情况下是由一组法官而不是陪审团审判的。基维马基的法官是一名女性和两名穿着商务服装的男性，坐在法庭前面的讲台上。最初被分配到此案的一名法官因与Vastaamo受害者有个人关系而自行回避。

房间很小，用金发木板装饰，像桑拿房一样，记者和其他旁观者坐在三排配有显示数字展品的监视器的桌子上，或者坐在沿着后墙排列的椅子上。数百名受害者远程观看——根据法律，他们有权目睹诉讼程序，而他们庞大的人数带来了后勤挑战。两个远程观看地点之一是一家电影院。为了保护剩下的患者隐私，确切的位置没有向公众披露，对它们的访问也受到严格控制。

基维马基在一月中旬的两天作证，当时赫尔辛基正在从暴风雪和严寒中挣扎。第一天，他回答了自己律师的问题；第二天，回答了检察官的问题。首席法官礼貌地偶尔提出自己的问题。基维马基看到各种时间戳登录和银行交易的电子表格时，大多数时候表示他不记得自己做过。他一再指出，其他人也可以访问与他被指与入侵有关的IP地址、凭据和服务器——在不同时间，朋友和同事也曾使用过。他坚称自己没有动机诉诸犯罪。他说，及时的加密货币投资是他在网上炫耀的生活方式的原因。

在接受Bloomberg Businessweek采访的第二天，Kivimäki进一步阐述了这些论点。对于美国人来说，凡塔监狱具有公立高中般毫不威胁的氛围。Kivimäki在那里被提供了一个房间作为办公室，里面有一台台式电脑：它没有连接到互联网，其处理单元被锁在铝箱中，因此无法插入任何东西。政府还为他提供了一台加密笔记本电脑供他在审判中使用。在一个星期二的上午，Kivimäki被留在一个会客室里，与一名记者和摄影师独处两个小时。之后，他和其他囚犯将在他们共用的厨房里一起做午餐。今天是披萨日。

Kivimäki自我介绍为Alex，而不是Julius。他多年前放弃了自己的旧中间名“只是为了让银行开心”，他说。他的英语流利，只带有轻微的口音，是互联网上的美式习语。当他被指控是Vastaamo数据泄露案的嫌疑人时，他说，他不相信自己会得到公正的审判。这就是为什么他没有自首的原因。“我并不是非常渴望来这里。很明显，他们并不真的尊重我的基本权利。”

他说，这种恐惧已经得到了证实。“他们从未搜查过我在伦敦的住所，他们声称我是在那里居住并声称我是从那里实施这些犯罪的，”他说。检察官Vainio承认这是真的，并且由于“关于调查令的误解”，伦敦警方未能扣押Kivimäki的任何设备。至于加密货币支付追踪证据，它是在审判的后期引入的，Kivimäki和他的律师还没有能够对其进行适当审查。如果他被判有罪，这是他计划在上诉中要解决的问题。Peter Jaari，Kivimäki的律师，极力指出，检察官寻求的七年刑期在芬兰标准下是一个严厉的判决。

Kivimäki也很高兴纠正他所说的关于他早期职业的误解。他自称只是Lizard Squad的一名发言人。“我的参与很少。在法庭上有点夸张了，”他说。“那里有更有才华的人，他们才是真正做事的人。”至于对Blair Strater及其家人的攻击活动，那也是一个团队的努力。“我可能给他打过一两次电话，送过他披萨，”他说。Kivimäki说，Strater本人以发出威胁而闻名：“他非常擅长制造敌人。”（“我唯一威胁过别人的事情就是告发他们，”Strater坚称。“这不酷，但威胁告发和威胁杀人之间存在很大的脱节。”）

“我对编程几乎一无所知，”Kivimäki坚称。他说，他了解的是“系统架构”。

“任何公司都是由用于不同目的的不同系统组成的，”他说。他自己的描述中，他的专长是理解机构和让他们做事的人。对于技术细节，了解得就少一些。

在那次谈话几周后，Kivimäki短暂失踪。他对拘留提出上诉，他的法官认为他不再构成潜逃风险，可以释放。上诉法院迅速推翻了这一决定。但那时，似乎没有人知道Kivimäki在哪里。当然，他在网上。一周内，他在留言板上疯狂发帖，而他的律师Jaari承诺他仍计划出席下一次预定的听证会。警方最终在赫尔辛基市中心一套以他姐姐名义租赁的顶层公寓内拘留了Kivimäki。他们部分通过他在聊天论坛Ylilauta上发布的一张Krug香槟瓶照片的背景细节追踪到了他。

审判于3月8日结束，决定仍在等待中。受害者之一是一名小学老师和年轻母亲，在审判结束前一周来到法庭，朗读了她写的一份声明。“许多受害者在那个时候正处于人生最黑暗的时刻，”她说。“数据泄露让情况变得更糟。”她认为，对于Kivimäki被指控的罪行来说，七年的刑期远远不够。

事后描述时，她说当她看到Kivimäki时，并没有像她想象的那样害怕。但她仍不希望在这个故事中使用她的真名。作为一个化名，她建议使用米拉，一个常见的芬兰名字。她指出，芬兰有一个“名字日”的传统，就像生日一样，在你的名字日，你会收到礼物。米拉的名字日是4月30日，这也是Kivimäki的法官们承诺作出裁决的日期。对于她的礼物，她希望是有罪的。 —与**Leo Laikola