Nas últimas semanas inúmeras ocorrências de falsificação de passaportes/certificados relativos à vacinação do Covid-19 fizeram manchete. Por exemplo, a chave privada usada para assinar os certificados da UE vazou e está a ser divulgada e comercializada em fóruns underground.
A chave foi utilizada para gerar certificados falsos, como os de Adolf Hitler, Mickey Mouse, Sponge Bob – todos os quais estão sendo reconhecidos como válidos pelas aplicações oficiais do governo.
Em vários grupos (principalmente do Telegram) circulam vários Green Pass forjados com assinatura válida. Existe a possibilidade de que uma base de dados de chaves privadas esteja comprometida e isso pode comprometer a cadeia de confiança do Green Pass.
Um dos casos mediáticos e registado nos últimos tempos é um certificado falso em nome de Adolf Hitler, e que está a ser reconhecido como válido pelas ferramentas de validação de certificados digital da Covid-19.
Try to scan this QR code with the official government APP “Verifica C19”
2/3 pic.twitter.com/2y65c4vsc9
— reversebrain (@reversebrain) October 26, 2021
Ambas as versões iOS e Android da aplicação Verifica C19 interpretam o QR code de Adolf Hitler como um certificado válido.
Também passaportes Europeus tendo como ponto de entrada a Polónia têm sido observados e muitos deles comercializados por $300.
Hack de certificados e testes PCR / AG em Portugal
Em Portugal o panorama não é diferente, e já há algumas semanas que um método semelhante tem vindo a ser divulgado em canais do Telegram, WhatsApp e fóruns underground.
Os autores do esquema desenharam um template web à medida com o nome “Laboratório Santa Liberdade”, e com uma imagem bem conhecida e utilizada em memes na Internet.
Ao que parece, a imagem da aplicação foi editada no dia 8 de Agosto de 2021, pelas 11:50h, num computador com o software GIMP 2.10.8 instalado.
A ferramenta não legítima permite gerar testes PCR / AG em nome de determinados laboratórios em Portugal, nomeadamente:
A plataforma utiliza a biblioteca “pdftk 3.0.2” (versão Java e PHP disponíveis no GitHub) para gerar um PDF semi-preenchido e falso de testes PCR / AG, com assinaturas legítimas de profissionais de saúde em Portugal.
Por outro lado, o sistema permite também gerar certificados digitais falsos utilizando diferentes vacinas, nomeadamente:
Uma vez mais, a mesma biblioteca (“pdftk 3.0.2“) é usada para gerar o Certificado Digital Covid UE / EU Digital Covid Certificate.
Os domínios utilizados pelos autores do sistema ilegítimo estão a operar sob a CDN CloudFlare de forma a mascarar o endereço de IP origem do servidor que hospeda todo o sistema web. Todos os domínios foram marcados como maliciosos no 0xSI_F33d – um f33d que compila ameaças de phishing e malware em Portugal.
efyr.me nlew.me efzd.me ngn2.me nltz.me testenahora.net certificadodigital.lol testeja.net jpm-secureplatform.com 31.42.186.198 https://t.me/covideurolab oo5oyagnghwtgz2lbzl37c6rje33cp4ullfby6wbdfyikt5gk6od77yd.onion [email protected] (protonmail)
Como mencionado e apresentado abaixo, os nameservers associados aos domínios são os da CloudFlare: chance e mira.
Contudo, e provavelmente por lapso dos autores que operam o sistema, foi possível identificar o servidor de origem [504e16c6.host.njalla.net], geo-localizado na Suécia, Jönköping, Vetlanda.
Também foi possível apurar que inicialmente o autor desta página – aparentemente um fulano ligado ao mercado de crypto-currency segundo pesquisas OSINT realizadas – usou na primeira versão da página um mecanismo para tentar motivar os utilizadores a partilharem certificados válidos COVID-19, alegando que efetuava o pagamento via Bitcoin ou PayPal por cada certificado recebido (uma farsa): “Pagamos 15 euros por cada mês de validade. Se a validade for de 6 meses, receberá 100 euros“, diz o malfeitor.
Como também destacado, inicialmente a aplicação foi colocada sobre um endereço .onion (oo5oyagnghwtgz2lbzl37c6rje33cp4ullfby6wbdfyikt5gk6od77yd.onion) – disponível através da rede darkweb (TOR browser). No entanto, esta componente no website foi descontinuada pelo malfeitor na versão seguinte da aplicação (em Setembro de 2021).
Para a disseminação do esquema, foi criado também um canal na rede Telegram, como pode ser observado abaixo (“https://t.me/covideurolab”), e onde já juntava cerca de 1700 utilizadores. Mais tarde o canal foi eliminada pelo administrador do canal, cujo handle foi capturado para cross-testing de informação. Foi também possível concluir que o malfeitor usava um IPhone para efetuar navegação na Internet, incluindo para aceder ao canal do Telegram, Twitter e a própria página web.
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.