Hack de certificados de vacinação COVID-19 no mundo e em Portugal.

Nas últimas semanas inúmeras ocorrências de falsificação de passaportes/certificados relativos à vacinação do Covid-19 fizeram manchete. Por exemplo, a chave privada usada para assinar os certificados da UE vazou e está a ser divulgada e comercializada em fóruns underground.

A chave foi utilizada para gerar certificados falsos, como os de Adolf Hitler, Mickey Mouse, Sponge Bob – todos os quais estão sendo reconhecidos como válidos pelas aplicações oficiais do governo.

Em vários grupos (principalmente  do Telegram) circulam vários Green Pass forjados com assinatura válida. Existe a possibilidade de que uma base de dados de chaves privadas esteja comprometida e isso pode comprometer a cadeia de confiança do Green Pass.

 

Um dos casos mediáticos e registado nos últimos tempos é um certificado falso em nome de Adolf Hitler, e que está a ser reconhecido como válido pelas ferramentas de validação de certificados digital da Covid-19.

 

Ambas as versões iOS e Android da aplicação Verifica C19 interpretam o QR code de Adolf Hitler como um certificado válido.

 

Também passaportes Europeus tendo como ponto de entrada a Polónia têm sido observados e muitos deles comercializados por $300.

 

 

Hack de certificados e testes PCR / AG em Portugal

Em Portugal o panorama não é diferente, e já há algumas semanas que um método semelhante tem vindo a ser divulgado em canais do Telegram, WhatsApp e fóruns underground.

Os autores do esquema desenharam um template web à medida com o nome “Laboratório Santa Liberdade”, e com uma imagem bem conhecida e utilizada em memes na Internet.

 

Ao que parece, a imagem da aplicação foi editada no dia 8 de Agosto de 2021, pelas 11:50h, num computador com o software GIMP 2.10.8 instalado.

A ferramenta não legítima permite gerar testes PCR / AG em nome de determinados laboratórios em Portugal, nomeadamente:

 

A plataforma utiliza a biblioteca “pdftk 3.0.2” (versão Java e PHP disponíveis no GitHub) para gerar um PDF semi-preenchido e falso de testes PCR / AG, com assinaturas legítimas de profissionais de saúde em Portugal.

 

Por outro lado, o sistema permite também gerar certificados digitais falsos utilizando diferentes vacinas, nomeadamente:

 

Uma vez mais, a mesma biblioteca (“pdftk 3.0.2“) é usada para gerar o Certificado Digital Covid UE / EU Digital Covid Certificate.

 

Os domínios utilizados pelos autores do sistema ilegítimo estão a operar sob a CDN CloudFlare de forma a mascarar o endereço de IP origem do servidor que hospeda todo o sistema web. Todos os domínios foram marcados como maliciosos no 0xSI_F33d – um f33d que compila ameaças de phishing e malware em Portugal.

efyr.me
nlew.me
efzd.me
ngn2.me
nltz.me
testenahora.net 
certificadodigital.lol
testeja.net
jpm-secureplatform.com
31.42.186.198
https://t.me/covideurolab
oo5oyagnghwtgz2lbzl37c6rje33cp4ullfby6wbdfyikt5gk6od77yd.onion
[email protected] (protonmail)

 

Como mencionado e apresentado abaixo, os nameservers associados aos domínios são os da CloudFlare: chance e mira.

 

Contudo, e provavelmente por lapso dos autores que operam o sistema, foi possível identificar o servidor de origem [504e16c6.host.njalla.net], geo-localizado na Suécia, Jönköping, Vetlanda.

 

Também foi possível apurar que inicialmente o autor desta página – aparentemente um fulano ligado ao mercado de crypto-currency segundo pesquisas OSINT realizadas – usou na primeira versão da página um mecanismo para tentar motivar os utilizadores a partilharem certificados válidos COVID-19, alegando que efetuava o pagamento via Bitcoin ou PayPal por cada certificado recebido (uma farsa): “Pagamos 15 euros por cada mês de validade. Se a validade for de 6 meses, receberá 100 euros“, diz o malfeitor.

Como também destacado, inicialmente a aplicação foi colocada sobre um endereço .onion (oo5oyagnghwtgz2lbzl37c6rje33cp4ullfby6wbdfyikt5gk6od77yd.onion) – disponível através da rede darkweb (TOR browser). No entanto, esta componente no website foi descontinuada pelo malfeitor na versão seguinte da aplicação (em Setembro de 2021).

Para a disseminação do esquema, foi criado também um canal na rede Telegram, como pode ser observado abaixo (“https://t.me/covideurolab”), e onde já juntava cerca de 1700 utilizadores. Mais tarde o canal foi eliminada pelo administrador do canal, cujo handle foi capturado para cross-testing de informação. Foi também possível concluir que o malfeitor usava um IPhone para efetuar navegação na Internet, incluindo para aceder ao canal do Telegram, Twitter e a própria página web.

 

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de  IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.