Паспорта вакцинации ЕС из даркнета, или Как Гитлер привился от ковида

"Лаборатория Касперского" выявила русскоязычные сайты, на которых торгуют поддельными сертификатами о вакцинации от коронавируса в ЕС. Как оказался возможным этот взлом и действительно ли он - дело рук русских хакеров?

Сообщение компании "Лаборатория Касперского" о том, что ее специалисты обнаружили в даркнете несколько русско- и англоязычных площадок, торгующих сертификатами ЕС о вакцинации от коронавируса, вызвало сильный резонанс в Евросоюзе. 1 ноября представительство ЕС в России призвало Москву расследовать эти случаи мошенничества, пообещав "в случае необходимости" принять надлежащие меры.

DW поговорила с экспертом "Лаборатории Касперского", а также специалистами по кибербезопасности двух крупных немецких компаний о том, насколько уязвимы цифровые сертификаты ЕС о вакцинации от COVID-19 и какова вероятность того, что за подделкой действительно стоят злоумышленники из России.

Как работали хакеры

Схема, по которой работали мошенники, довольно проста. Хакеры предлагали "клиентам" загрузить их данные в банк данных ЕС о лицах, вакцинированных от коронавируса, и прислать QR-код, подтверждающий, что прививка одобренной в ЕС вакциной была сделана в одной из стран Восточной Европы. Стоила эта сомнительная услуга около 300 долларов. В германоязычном блоге Kaspersly Lab уточняется, что речь шла о торговле паспортами вакцинации, выданными в Польше и Франции.

При этом качество поддельных сертификатов было столь высоко, что купленные у хакеров документы с QR-кодами не распознавались в Европе как подделки. В этом убедились и журналисты немецкого портала Neztreporter. Они отсканировали в предлагаемом в Германии приложении для паспортов вакцинации CovPass "пробный" QR-код хакеров и получили подтверждение, что вакциной BioNTech/Pfizer от ковида был привит Адольф Гитлер, рожденный 1.1.1900 года. Вместо того, чтобы отказаться принимать фальшивку, приложение уведомило, что второй укол Гитлеру сделали совсем недавно - 1 октября.

Почему в ЕС не распознают фальшивые сертификаты о прививке

Как пояснил в интервью DW Себастиан Горцела (Sebastian Horzela), руководитель ганноверской компании Ciphron, специализирующейся на кибербезопасности, действующие в ЕС цифровые сертификаты о вакцинации от коронавируса используют так называемую цифровую подпись, а она, в свою очередь, базируется на так называемой инфраструктуре открытых ключей (Public Key Infrastructure System).

"Сертификаты о вакцинации можно было заказать у хакеров потому, что в их руки попали некоторые цифровые ключи, которые те или иные государства передали институтам, ответственным за выдачу прививочных сертификатов", - продолжает эксперт. Именно это объясняет, почему приложения воспринимают проданные хакерами сертификаты как настоящие: они действительно "настоящие".

Логичным шагом со сторон властей ЕС было бы сейчас отозвать украденные ключи. При этом, однако, будут аннулированы и все подлинные сертификаты, выданные ранее с использованием этих ключей, предупреждает Горцела. "Они будут считаться "скомпрометированными", так что их обладателям придется подтверждать подлинность этих цифровых документов, например, с помощью архива. Тогда пациенты смогут получить другой документ, произведенный с использованием уже нового цифрового ключа", - указывает эксперт.

Как произошла утечка и как о ней узнали?

Как рассказал DW эксперт по кибербезопасности "Лаборатории Касперского" Дмитрий Галов, он и его коллеги постоянно мониторят интернет-ресурсы, где общаются злоумышленники, и уже давно внимательно следят за мошенническими действиями, связанными с тематикой ковида, будь то поддельные тесты или фишинговые письма про социальные выплаты.

Из-за того, что в последнее время перемещение между странами стало проще для вакцинированных одобренными вакцинами, стало больше и предложений по продаже цифровых сертификатов, отмечает Галов.

Гадая о том, как цифровые ключи могли попасть в руки хакерам, большинство экспертов называют два возможных сценария: взлом баз данных ведомств по вопросам здравоохранения отдельных стран-членов ЕС (в данном случае Польши и Франции) или подкуп сотрудников этих ведомств.

По мнению Флориана Ханземана (Frorian Hansemann), эксперта по кибербезопасности, управляющего мюнхенской компанией HanseSecure, оба сценария являются вероятными. В беседе с DW он упоминает и одно из классических "слабых мест" приложений, устанавливаемых на компьютерах с операционными системами iOS и Android, а именно: возможность провести так называемый обратный анализ (Reverse-Engineering), то есть посмотреть их исходный код с целью найти чувствительные данные. Другая возможность для взлома может предоставиться во время коммуникации, то есть обмена информацией, между приложением и сервером, указывает эксперт.

Означает ли это, что приложение на основе QR-кода взломать легче, чем любое другое? Вовсе нет, успокаивают эксперты: "QR-код - это лишь способ презентации информации. Текст из букв, штрихкод или QR-код - с точки зрения безопасности для компьютера это роли не играет".

По мнению Себастиана Горцелы, тот факт, что в руках злоумышленников оказалось лишь несколько отдельно взятых ключей, говорит в пользу версии о коррупции. "Ведь система компьютерной безопасности европейских ведомств сделана очень хорошо, по последнему слову техники", - подчеркивает он.

Русские хакеры ни при чем?

Оба немецких эксперта по IT-безопасности, с которыми пообщалась DW, сходятся во мнении, что тот факт, что в поддельных сертификатах фигурирует восточноевропейская страна, вовсе не означает причастность русских хакеров к этому преступлению.

"У специалистов по компьютерной безопасности, есть такая поговорка: Attribution is hard ("Найти виновника нелегко". - Ред.). Судя по всему, данные были украдены из ведомств Польши и Франции, но ничто не указывает однозначно в направлении России, - поясняет эксперт. - С таким же успехом это могло быть дело рук немцев, китайцев, французов - кого угодно".

С этим согласен Флориан Ханземан: "Если что-то написано на кириллице, это еще не означает, что родной язык хакера - русский. Ведь есть программы-переводчики. И это был бы уже не первый случай, когда злоумышленники пользуются иностранным языком, чтобы скрыть свое истинное происхождение".

Как надежнее хранить документы: на бумаге или в цифре?

С точки зрения Себастиана Горцелы, самое уязвимое место цифровых сертификатов о вакцинации - их обязательная привязка к удостоверению личности. "QR-код на экране смартфона может подтвердить, что некто был привит, но это не обязательно тот, кто держит в руках этот смартфон", - констатирует он.

И все же цифровая система намного лучше в плане безопасности, убежден Горцела: "Все, что нужно для фальсификации бумажного документа, - принтер для печати этикеток и подлинный номер партии вакцины. Подпись врача все равно разобрать невозможно. А цифровые сертификаты подделать очень трудно. Разве что у тебя есть частный ключ", - объясняет эксперт.

С этим мнением согласен Флориан Ханземан. "Поскольку для создания QR-кода необходимы цифровые ключи, он гораздо безопаснее, чем обычная прививочная карта в виде книжечки, - говорит он. - Чтобы сделать поддельный прививочный сертификат, нужно немало преступной энергии и технических ноу-хау".

Риски при покупке поддельных сертификатов о прививке

Скачивая QR-код из сомнительных источников, не стоит забывать, что вместе с ним можно получить и вирус, напоминает Ханземан: "Тебе приходит QR-код, но работая с ним, можно выполнить такие действия, как открыть URL-адрес, открыть данные, запустить приложение - и при этом, не желая того, установить у себя на смартфоне троянский вирус".

Дмитрий Галов из "Лаборатории Касперского" предупреждает также: "Помимо того, что вы можете потерять свои деньги, вы можете лишиться и персональных данных или личных документов".

Со своей стороны, Себастиан Горцела напоминает о риске подвергнуться уголовному преследованию за подделку документов. "Поскольку властям известно, от имени каких институтов в Польше и Франции выдавались незаконные сертификаты, теперь можно будет легко проследить, кто получал их после определенной даты. Лично я ни за что не стал бы покупать такой документ. Ведь вероятность найти меня после этого очень велика", - резюмирует он.

Android Covid Германия Доллар Европа Короновирус