Inchiesta Green Pass falsi: i collegamenti con la Russia, con una timeline e il Kit di cracking

Questa analisi vuole essere un ricapitolare di tutto ciò che sappiamo finora su questa vicenda della generazione di Green Pass falsi, in parallelo a ciò che sta accadendo al trattamento dei dati relativi alla certificazione verde in ambito privacy, proprio negli ultimi giorni, mi riferisco in questo ultimo caso, alla vicenda dei Green Pass scaricabili online, tramite sito web dedicato e tramite eMule.

Inizio subito con una timeline (in aggiornamento) per tracciare un punto di partenza, con l’analisi, ripercorrendo le tappe fino a oggi (cercando di rispettare le fonti).

  • 01 agosto 2021: supply chain/gestione IT (Lazio Crea) di Regione Lazio attaccata da ransomware.
  • 15 ottobre 2021: arresti di Catania, vendevano in cambio di Bitcoin, Green Pass su Telegram, chiusi i primi canali.
  • 27 ottobre 2021: spuntano i primi Green Pass fasulli, ma validi, di Hitler, Topolino etc.
  • 30 ottobre 2021: Claudio Sono ha scoperto e segnalato archivio con 62 Green Pass di cittadini italiani, disponibile online su RF.
  • 03 novembre 2021: rivendicazione di possibile attacco a Ministero della Salute, tramite vecchia CVE non fixata.
  • 04 novembre 2021: arriva un nuovo Green Pass falso, ma valido, quello di Bettino Craxi.
  • 06 novembre 2021: MatriceDigitale avvisa di 2200 Green Pass circolanti da Telegram, che al netto dei duplicato danno luogo alla diponibilità di 1100 certificazioni in PDF.
  • 07 novembre 2021: scopro personalmente che su eMule si stanno condividendo PDF e archivi zip/rar contenenti Green Pass, di cittadini italiani, autentici e funzionanti.
  • 08 novembre 2021: arresto di Genova, ragazzo 17enne collegato a gruppo russo, vendeva Green Pass su Telegram (> 20K euro, giro d’affari)
  • 20 novembre 2021: scoppia la bomba giornalistica e si inneggia a sensazionale scoperta del caso eMule, interviene anche il GPDP, che avvia un’indagine.
  • 24 novembre 2021: analisi per la verifica del contenuto dei Green Pass collezionati insieme ai 1000 già noti, appurato che in realtà siano 764 validi.

Ma che c’entra la Russia?

Dopo questo riassunto di come sono andate le cose finora, tra queste date, abbiamo affrontato anche altri argomenti e aperto anche altre inchieste sull’argomento. Nello specifico mi sono soffermato tanto sui collegamenti tra la vicenda della generazione di Green Pass falsi (con chiavi potenzialmente rubate a stati UE) e gruppi noti di operatori russi. Ne ho parlato, per la prima volta, molto in dettaglio nell’inchiesta che indaga le relazioni tra i vari attacchi al sistema sanitario nazionale (del 30 ottobre); per poi rilanciare con l’ultima inchiesta che ci porta fino agli arresti di Genova (del 10 novembre).

Oggi sono di nuovo qui a scrivere e fare analisi, per un semplice motivo, c’è un altro collegamento tra le vicende appena elencate.

Tramite Claudio Sono e questo articolo di Michele Pinassi, sono venuto a conoscenza di nuovi elementi. Si menziona qui infatti per la prima volta un archivio contenente un KIT di cracking del sistema di certificazione verde EU. Decido subito di entrare nel merito e vederci chiaro.

Dentro questo archivio, per il momento si può dire che non ci siano grandi novità: troviamo i soliti 2200 certificati in PDF (che scremati come abbiamo visto sono i 1000 già noti, italiani); un clone del GitHub della app VerificaC19, ricordo essere open source da disposizione governativa su account ufficiale italiano (potenzialmente utile a generare l’APK alterato, per utilizzi illeciti di questa applicazione); e un altro clone del GitHub ufficiale del Ministero della Salute Israeliano, con il proprio progetto chiamato Ramzor.

Fin qui niente di eclatante. Ciò in cui vorrei canalizzare l’attenzione di questo articolo è il modo di presentazione di tutto questo progetto. Parte tutto da un post del 20/11, all’interno di una discussione già avviata dal 18 novembre nel solito forum, nel quale si dettano delle scadenze, per questa vicenda che ormai sta funzionando a rilascio lento, da più di un mese.

Il post sul forum che condivide il KIT di cracking.

Si parla tranquillamente di nuove applicazioni da diffondere che sono quasi pronte, e di altri leaks su Green Pass, che saranno completamente rilasciati entro la fine dell’anno. Dunque sicuramente una vicenda da seguire, ancora fino alla fine, come abbiamo fatto, per giungere forse alle battute finali, e ricollegando tutti i pezzi di questo misterioso rilascio lento, verificare finalmente se tutte le analisi precedenti potranno avere un senso di esistere.

Il contenuto del KIT condiviso sul forum

Qui il sito utilizzato per la diffusione di questo archivio è un tipico canale in lingua russa. Altro segnale che ci deve sicuramente far ragionare, rispetto alle notizie apprese finora (compreso l’ultimo recente arresto di Genova).

Per chi non avesse voglia e tempo di andarsi a leggere le mie precedenti analisi segnalate su, riassumo lo scenario risultante, dal materiale accumulato finora su questa vicenda, con i punti principali da ricollegare:

Potrebbe esser partito tutto da attacco a Regione Lazio (LazioCrea), su computer della catena IT utile alla gestione della prenotazione vaccinale. Bonificata la situazione, potrebbe aver insistito un attacco APT sulla medesima infrastruttura. Da una serie di indizi si arriva a ricondurre l’operazione a xGroup (gruppo russo, sovvenzionato dallo Stato) che tramite affiliazioni locali, ne coordina l’operatività in giro per l’Europa, e anche in Italia con gruppi più piccoli che operano su Telegram (per la lavorazione finale e il dialogo con l’acquirente). xGroup potrebbe avere le chiavi private di qualche Stato europeo, e con piccoli rilasci lenti fa parlare di se sulla vicenda. Non dimentichiamo che gruppi di questa portata sono perfettamente in grado di trattare con forze dell’ordine e squadre speciali di qualsiasi Paese, difficile che non possa capitare anche all’Italia.

Citazione molto semplicistica di tre articoli dettagliati con analisi storiche sui materiali ritrovati, sopra menzionati

Ma questa è una mia visione dello scenario attuale. Aspettiamo che finiscano i rilasci per capire dove questa vicenda andrà a terminare e se davvero scoppierà una bomba cyber contro l’Europa. Una cosa invece è certa e non è soggetta a interpretazioni investigative: il nostro sistema infrastrutturale nazionale, ha grosse difficoltà e gap che andrebbero urgentemente colmati. In questi mesi sono successi attacchi a ogni angolo delle Pubbliche Amministrazioni, Comuni, Unioni di Comuni, grosse aziende private italiane, Aziende Sanitarie Locali, Aziende Sanitarie Provinciali e Aziende Ospedaliere. Tutto grazie a vulnerabilità già note, risolvibili ma non risolte. Questi sono problemi reali, che producono conseguenze reali e che in altri paesi, non troppo lontani, stanno già facendo morire persone. Il settore sanitario è forse l’elemento più sensibile di uno Stato, inoltre in piena pandemia la sensibilità non può che aumentare, se questo viene compromesso, o sospeso, produce effetti, che possono (e altrove lo sono stati), essere molto gravi.