17.07
24хв
Паролі під контролем: як «європейський» софт з ліцензією ФСБ проник у державні системи ЄС
Автор
Поділитися матеріалом
Зміст матеріалу
Зміст:

Над матеріалом також працювали журналісти OCCRP та волонтери StateWatch – Матвій Лядов й Назар Голянич.

Поки Європа інвестує в безпеку, інновації та підтримку України, – доступ до критично важливих даних можуть контролювати інструменти з російським походженням. Passwork – менеджер паролів із ліцензією ФСБ, який використовують структури, пов’язані з державним сектором ЄС. Журналісти StateWatch та OCCRP зʼясували, що за фасадом «європейської компанії» – російська юрисдикція, клієнти російського ВПК і законодавство, яке зобов’язує співпрацювати зі спецслужбами. 

Брюссель. Саме тут працюють головні інституції Європейського Союзу та НАТО. А за цифрову інфраструктуру державного сектору Брюссельського столичного регіону відповідає Paradigm – організація, яка забезпечує ІТ-рішення для регіональних адміністрацій, кабінетів міністрів, муніципалітетів та інших державних установ. Вона керує інформаційними системами, координує цифрову екосистему регіону та відповідає за безперебійну роботу державних цифрових сервісів.

Iris Tower, Брюссель – офіс Paradigm (фото з мережі Інтернет)

Уявіть наше здивування, коли ми зʼясували, що для зберігання та керування паролями брюссельський Paradigm досі використовує Passwork – продукт, створений російською компанією з Архангельська.  Менеджери паролів використовують для централізованого зберігання облікових даних і керування доступом до інформаційних систем. Для організацій, які відповідають за цифрову інфраструктуру державного сектору, це один із ключових елементів кібербезпеки.

Ми надіслали запит у Paradigm. У відповідь на нього організація підтвердила, що використовує Passwork вже більше п’яти років. 

«Його використовуємо з травня 2021 року по сьогодні. Passwork допомагає нам керувати великою кількістю паролів, пов’язаних із різними клієнтами, яким ми надаємо підтримку. Наразі доступ до системи має 41 співробітник Paradigm», – повідомили в організації.

І поки через Брюсель проходять чутливі дані, російський Passwork тихо керує доступом до цих систем. 

Кібербезпека – це необхідність: без неї навіть державні таємниці можуть стати відкритими для ворожих спецслужб. Найрізноманітніші важливі дані зливають, продають, використовують для шантажу і впливу. Російські спецслужби вже неодноразово показували, як це працює на практиці: проникнення у системи Бундестагу, атаки на урядові та корпоративні мережі ЄС, зливи з Telegram, використання цифрових слабкостей для отримання політичних і економічних дивідендів. ФСБ і подібні структури мають ресурси і мотивацію експлуатувати цифрові канали, де зберігаються критично важливі дані. Використання російського софту навіть у нейтральному корпоративному середовищі відкриває двері для таких ризиків. Кожен пароль, кожна база, кожен сервер – потенційна ціль.

Мережа компаній зі всього світу під наглядом «ФСБ»?

Passwork – система для зашифрованого зберігання паролів на серверах клієнта. Сервіс дозволяє централізовано керувати корпоративними паролями і спрощує доступ співробітників до необхідних даних. Саму програму російські розробники створили у 2014 в Архангельську.  А вже пізніше, у 2024, російський продукт почали продавати через іспанську фірму PASSWORK EUROPE SL для іноземних клієнтів. Зараз програма позиціонується як безпечний інструмент для бізнесу. Але про яку безпеку може йти мова, якщо на російському сайті компанії одразу бачимо «ліцензію від ФСБ» та ще дві «від Федеральної служби з технічного та експортного контролю Росії»?

Скриншот з мережі Інтернет

На офіційному LinkedIn Passwork до червня 2026 року був список клієнтів з усього світу. Серед них низка державних установ, урядів та університетів:

  • Федеральне міністерство досліджень, технологій та космосу Німеччини;
  • Уряд Ірландії; 
  • Адміністрація округу Гільдесгайм (Німеччина); 
  • Цюрихський університет (Швейцарія);
  • Технічний університет Дрездена (Німеччина). 

Так само, за даними цієї сторінки, програмним забезпеченням користувалися і великі міжнародні компанії:

  • Deutsche Post / DHL – логістика (Німеччина);
  • Orange Telecom – телекомунікації (Франція);
  • PHC Tailored Telecom & IT – ІТ-послуги (Нідерланди);
  • TDK – електроніка (Японія);
  • Turbine Kreuzberg – технології (Німеччина);
  • HAROPA PORT – логістика (Франція);
  • EPEX SPOT – товарна біржа (Франція);
  • Maxon – розробка ПЗ (Німеччина);
  • Foundry – розробка ПЗ (Великобританія);
  • ArcelorMittal – металургія (Люксембург);
  • Komatsu – машинобудування (Японія);
  • BOGNER – мода та рітейл (Німеччина);
  • Frontier Developments – комп’ютерні ігри (Великобританія);
  • Sunreef Yachts – суднобудування (Польща);
  • SolarEdge Technologies – відновлювана енергетика (Ізраїль);
  • Enel Group – енергетика (Італія).
Скриншот з мережі Інтернет
Скриншот з мережі Інтернет

Виглядає як успішний міжнародний продукт. Тим паче, зареєстрований далеко за межами Росії. Однак після того, як ми почали надсилати запити компаніям з цих списків, інформацію про користувачів менеджера паролів прибрали з офіційної сторінки компанії в LinkedIn.

Скриншот з мережі Інтернет

Водночас частина організацій, які раніше згадувалися у соцмережах Passwork як користувачі продукту, повідомила нам, що не використовує його. Серед них – Федеральне міністерство досліджень, технологій та космосу Німеччини (Bundesministerium für Forschung, Technologie und Raumfahrt), логістична компанія Deutsche Post, нідерландська телекомунікаційна компанія PHC (нині Yielder), нідерландська організація BIJ12, муніципалітет Геренвена (Gemeente Heerenveen), італійська енергетична компанія Enel, японський виробник електроніки TDK та німецька Maxon.

Ми отримали офіційні підтвердження використання Passwork від низки великих європейських організацій, зокрема компаній, університетів і державних установ. Серед них: французький телекомунікаційний оператор Orange, Дрезденський технічний університет (Німеччина), нідерландський регіональний мовник RTV Noord, нідерландська енергетична компанія Novar, державна цифрова агенція Брюссельського столичного регіону Paradigm, британська компанія Foundry (використовувала продукт до 2024 року), німецький виробник спортивного одягу Bogner та адміністрація району Гільдесгайм (Landkreis Hildesheim).

Іспанський бек-офіс фірми з Архангельська

В тому ж LinkedIn зазначено, що штаб-квартира компанії знаходиться в Барселоні. І справді, за даними іспанського реєстру юридичних осіб, PASSWORK EUROPE SL зареєстрована 30 серпня 2024 року в місті Барселона, що в Іспанії. Статутний капітал – всього лиш €3 000. Єдиним власником і директором компанії у документах зазначений такий собі Алєксандр Мунтян. Він же зазначений як CEO і на сайті Passwork.

Скриншот з мережі Інтернет
Скриншот з мережі Інтернет

Двома роками раніше, у листопаді 2022 року, компанія з ідентичною назвою ООО «Пассворк» була заснована у російському Архангельську. Основний КВЕД – розробка комп’ютерного програмного забезпечення. Власники російської структури до сьогодні не змінювалися: по 50% акцій мають Андрєй П’янков (гендиректор) та Ілля Гарах. Фінансові показники їх діяльності в РФ вражають: маючи в штаті всього три працівники, дохід за 2024 рік склав 197 млн руб, а чистий прибуток – 97,6 млн руб або майже мільйон доларів.

Скриншот з мережі Інтернет

Клієнти Passwork у Росії: виробники зброї і санкційні підприємства

Можна було б припустити, що перед нами історія російських підприємців, які засудили війну та вивезли бізнес із країни-окупанта. Але це точно не про засновників Passwork. Поки іспанський офіс мімікрує під європейський стартап, на російському сайті компанії у розділі «Клієнти» гордо висять логотипи підприємств російського оборонно-промислового комплексу. Більшість із них у санкційних списках США та ЄС. Підстава – виробництво зброї, що застосовується у війні проти України. Серед зазначених користувачів російської програми зберігання паролів:

Також менеджер паролів використовують й інші підсанкційні компанії: «Газпром нефть», «Аэрофлот», «МетроВагонМаш» і «Русал».

Скриншоти з мережі Інтернет

Ліцензія ФСБ і російські закони

У 2025 Passwork отримав ліцензією від ФСБ Росії на використання криптографічних засобів. Формально така ліцензія видається безстроково, але її можна втратити, якщо під час перевірки виявлять порушення вимог ФСБ. 

Ця ліцензія – не обовʼязкова для роботи на території РФ. Але вона забезпечує можливість співпрацювати з російськими державними підприємствами. Та тут є нюанс. Разом з цією ліцензією компанія отримує і юридичне зобов’язання за вимоги надавати доступ до даних, якими вона володіє. Ось конкретні норми, які це закріплюють:

  1. Постанова уряду РФ №313 (2012) – регулює ліцензування криптографічних засобів, що узаконює контроль ФСБ за діяльністю компаній.
  2. Федеральний закон №144-ФЗ «Про оперативно-розшукову діяльність» – дозволяє спецслужбам вимагати доступ до інформаційних систем та обов’язково сприяти проведенню ОРД (оперативно-розшукової діяльності).
  3. Федеральний закон №149-ФЗ «Про інформацію» – зобов’язує операторів даних надавати інформацію державним органам.
  4. СОРМ і «Пакет Ярової» – технічний та законодавчий механізм примусу до передачі метаданих, змісту комунікацій та ключів шифрування.
Скриншот з офіційного сайту Passwork.ru

У 2024 році Passwork отримав ще додаткові ліцензії від ФСТЕК (Федеральної служби з технічного та експортного контролю). Вони дозволяють «Пассворку» розробляти та впроваджувати програми й технічні засоби для захисту даних, працювати з корпоративними паролями і надавати ці рішення державним компаніям та великим корпораціям, для яких наявність таких ліцензій обов’язкова.

«З огляду на широкі повноваження російських спецслужб, якщо такі матеріали чи вихідний код привернуть увагу ФСБ, існує значний ризик того, що державні органи можуть отримати до них доступ через механізми, передбачені законом, або через фактичні механізми державного впливу», – зазначив Олександр Фролов, партнер міжнародної юридичної фірми Kinstellar, який спеціалізується на санкціях та ризиках.

Хто заснував Passwork?

 

Співзасновники Passwork – Ілля Гарах та Андрєй П'янков, фото з мережі Інтернет

Публічної інформації про засновників Passwork майже немає, однак дещо про них нам усе ж вдалося з’ясувати.

Андрєй П’янков – директор російської юридичної особи. Акаунти в соцмережах видалені, публічної активності немає, до 2023 року проживав у Владімірскій області РФ.

Ілля Гарах – співзасновник, до 2023 року проживав у Архангєльську. Інколи публікує професійні технічні матеріали. Наприклад – «Как взломать биометрические данные паспорта».

Скриншот з мережі Інтернет

Алєксандр Мунтян – людина, яку Passwork виставляє обличчям компанії для Заходу (керівник офісу в Барселоні).

Фото з мережі Інтернет

В соцмережах підписаний як Alex, в описі – CEO Passwork Europe. Дитинство і юність точно провів у Москві. Там навчався у школі, університеті та школі бізнесу. Там він навіть грав у московській хокейній команді – «Белый Шквал». 

Фото з мережі Інтернет

Зараз він живе в Іспанії. Коли виїхав з РФ – невідомо. Але ще з 2020 року він зазначений засновником і директором московського ООО «Коммуна Интерим», що консультує з питань комерційної діяльності та управління. 

Як Passwork із Архангельська став «іспанською компанією»: зустріч у черзі до туалету, яка відкрила ФСБ двері до Європи

Хоча офіційно російську компанію заснували лише у 2022 році, сам Passwork як ідея зʼявився ще у 2014-му. Перша версія мала назву Password Share і одразу викликала критику з боку громадськості. Самі засновники пізніше у інтервʼю російським медіа пояснювали:

«Сама ідея зберігати паролі в хмарі у середньостатистичного коментатора викликала нестримну спонтанну ненависть. Нас називали і «путінським проєктом з крадіжки паролів», і «позаштатним відділом ФСБ»

Ймовірно, з цих причин пізніше компанію перейменували і змінили домен. Втім, місцем реєстрації залишився Архангєльськ. А закиди суспільства виявились не безпідставними.

Фото з мережі Інтернет

У 2017 році діяльність фірми розширилась і на сусідню Фінляндію.

Засновники про цей період своєї діяльності розповідають так: 

«Люди не дуже-то довіряють продуктам із Росії, і для того, щоб просувати Passwork на Заході, нам потрібна офіційна компанія в «нормальній» країні».

Доленосне знайомство сталося у черзі до туалету. На стартап-турі в Архангельську Ілля Гарах підійшов до фінського мільйонера Пекки Вілякайнена – радника фонду «Сколково» та людини, яка отримувала нагороди від Путіна. 

Скриншот з мережі Інтернет
Пекка Вілякайнен, фото з мережі Інтернет

Сам Вілякайнен потім розповідав: 

«Стою в черзі до туалету. Підходить до мене молодий хлопець і починає розповідати про свій стартап. Хлопця звали Ілля, і він був настільки переконливим, що я вклав гроші в цю команду»

Хоча, за словами співзасновника Іллі Гараха, ця «доленосна» зустріч відбулася у холі університету. Коли він, як спікер, зачепив Пекку. Так народилася фінська юридична особа Passwork Oy.

«Далеко не одне й те саме продавати продукт від імені ФОП з Архангельська або від імені фінської компанії», – пояснював Ілля Гарах.

2023–2024 роки: іспанська оболонка. «Спочатку Passwork фінансував фінський інвестор але після років стабільного зростання ми прийняли свідоме рішення викупити 100% акцій. Після викупу ми перенесли юридичну базу до Іспанії, зберігши при цьому всю команду» – наголошують в одному з інтерв’ю російські розробники Гарах та П’янков. 

Власником іспанської Passwork Europe S.L. став Алєксандр Мунтян. Сьогодні ж Passwork на кожному кроці наголошує про своє «європейське коріння», штампуючи нові і нові лозунги: 

«Ми повністю європейська організація, юридично зареєстрована в Іспанії», «Наша компанія відображає європейські цінності», «Створені по всьому світу. Вкорінені в Європі», «Ми пишаємося нашим європейським фундаментом»

Про Архангельськ – жодного слова. Але саме цього ж року – паралельно з гучними заявами про «європейські цінності» – російська юридична особа ТОВ «Пасcворк» отримує ліцензії ФСТЕК.

Генеральний директор Passwork Europe SL Алекс Мунтян розповів партнеру StateWatch – OCCRP, що між Passwork Europe SL і російською компанією немає жодного корпоративного чи операційного зв’язку.

«Між Passwork Europe S.L. та російським Passwork немає жодних корпоративних, договірних, операційних, інфраструктурних відносин чи відносин щодо обміну даними», – написав він. 

Також Мунтян запевняє, що всі дані європейських клієнтів зберігаються тільки в ЄС. Втім, уже в тому ж листі він підтверджує факти, які свідчать про спільне походження продукту. За словами Мунтяна, Passwork Europe придбала програмне забезпечення у компанії Passwork FZ-LLC (ОАЕ), яка до 30 серпня 2026 року продовжує передавати європейській компанії оновлення вихідного коду та технічні знання (knowledge transfer, Прим. Ред).

Більше того, Мунтян прямо визнає, що європейський і російський продукти мають «common codebase origin» – спільне походження кодової бази. Саме цим він пояснює, чому оновлення для обох продуктів виходять майже одночасно та мають однаковий опис змін.

«Обидва продукти мають спільне походження кодової бази. Як наслідок, оновлення іноді можуть виходити з невеликим інтервалом і містити схожі описи» – додав Алекс. 

Ще одна важлива деталь – за словами Мунтяна, співзасновник Passwork Ілля Гарах бере участь у передачі оновлень вихідного коду та технічних знань як співробітник еміратської Passwork FZ-LLC. Інший співзасновник – Андрій П’янков – очолює цю компанію в Об’єднаних Арабських Еміратах. Сам Мунтян також повідомив, що обидва засновники зараз проживають в ОАЕ.

Таким чином, попри заяви про відсутність зв’язків із російським «Пассворком», генеральний директор Passwork Europe SL підтверджує, що європейський продукт має спільне походження кодової бази з російським, а також продовжує отримувати оновлення вихідного коду та технічні знання від компанії, яку очолює один зі співзасновників російського Passwork.

Додатково ми встановили, що і генеральний директор Passwork Europe Алекс Мунтян, і росіяни Гарах та Мунтян у своїх профілях у соцмережах як місце роботи вказують саме Passwork Europe SL.

Російські співзасновники Passwork Ілля Гарах та Андрєй П'янков не відповіли на численні запити про коментарі.

Що кажуть експерти з кібербезпеки

Українські фахівці з кібербезпеки на умовах анонімності коментують використання Passwork європейськими структурами і установами як системний ризик, навіть без прямих доказів передачі даних.

«Хоч у коді я не можу побачити очевидної передачі паролів, питання залишається відкритим чи може сервер отримувати або відновлювати ключі шифрування. Якщо контроль повністю на стороні клієнта, ризик нижчий. Але система може блокувати підозрілу активність так, що клієнт нічого не помітить», – пояснює фахівець.

Інший говорить про важливість незалежного аудиту: 

«Версія Passwork для локальної інсталяції зберігає ключі на стороні замовника, а хмарні версії потребують незалежного аудиту. Теоретично будь-яке ПЗ, що оновлюється, може стати вектором доступу як це вже показали SolarWinds чи M.E.Doc. Загалом користування російським софтом додає ризики санкційні, репутаційні та цільові атаки».

Ще один підтверджує наші знахідки: 

«За законодавством РФ компанія зобов’язана надавати різні дані державним органам і сплачувати податки, що опосередковано фінансує державні програми. Тому навіть без прямих доказів доступу до паролів використання Passwork під юрисдикцією РФ і з ліцензією ФСБ створює системний ризик. Незалежний аудит продукту залишається єдиним способом оцінити його реальну безпечність».

Ми також звернулися до низки незалежних іноземних експертів із кібербезпеки та криптографії, які проаналізували технічні зв’язки між російською та європейською версіями Passwork.

Професор криптографії Католицького університету Левена Барт Пренеель дійшов висновку, що сукупність виявлених технічних ознак є достатньою, щоб припустити, що інфраструктура перебуває під контролем однієї структури. Йдеться, зокрема, про історичні та поточні зв’язки між доменами, спільні елементи інфраструктури та інші технічні артефакти.

Схожу оцінку дав і незалежний дослідник Лукаш Олейнік. Він підтвердив, що російський домен passwork.ru та європейський passwork.pro використовують однаковий інсталяційний скрипт, а саму ситуацію назвав high risk (з високим ризикам, Прим. Ред). За його словами, найбільше занепокоєння викликає не окремий технічний збіг, а прихований ланцюг контролю над продуктом.

«У сфері кібербезпеки довіра – це не просто комерційний слоган», – зазначила Алессандра Кіріко, експертка з питань законодавства ЄС та політики у сфері кібербезпеки.

«Чим сильніше наратив про довіру, тим більший відповідний обов’язок щодо прозорості, необхідний для його підтримання». 

Водночас один із засновників нідерландської компанії Fox-IT Рональд Прінс звернув увагу на інше: на його думку, вже опубліковані технічні вразливості Passwork є настільки серйозними, що він не розуміє, чому європейські організації взагалі продовжують використовувати цей продукт. За його словами, юридичний поділ компанії не усуває ризиків доступу з боку Росії.

Як Passwork залишає доступ до даних

Щоб зрозуміти, наскільки безпечним є Passwork, ми передали його на аналіз ІТ-фахівцю з Німеччини. Він погодився прокоментувати результати на умовах анонімності. За його словами, навіть без явних ознак злому чи витоку, сама архітектура продукту вже створює потенційні ризики доступу до даних.

«Проблеми починаються ще під час встановлення. Програма під’єднується до зовнішнього сервера і отримує унікальний ідентифікатор разом із IP-адресою та інформацією про організацію. Це дозволяє виробнику бачити кожного користувача. Для продукту, який позиціонується як повністю локальний, така функція виглядає необґрунтованою» – пояснює фахівець.

Під час тестування експерт не зафіксував прямих витоків, але звернув увагу на значну кількість технічних підключень, через які теоретично може передаватися інформація. Додатково система має інструменти, які дозволяють отримати повний доступ до паролів і внутрішніх даних, а механізм оновлень може використовуватися як канал для прихованого доступу – за сценарієм, подібним до SolarWinds hack (масштабна кібератака, яку, ймовірно, скоїла група, що підтримується урядом Росії, проникла в тисячі організацій по всьому світу, зокрема кілька підрозділів федерального уряду США, що призвело до серії витоків даних, Прим. Ред).  

Підсумовуючи, експерт формулює ризики прямо:
«По-перше, очевидно приховане російське походження з активною спробою обману західних клієнтів. По-друге, архітектура програмного забезпечення, яка створює залежність від виробника, попри обіцянку повністю локального використання. По-третє, продукт, який у разі успіху дає доступ до всіх паролів, сертифікатів і секретів організації, тобто, до найціннішого цифрового активу компанії.

Державній російській розвідувальній службі навіть не потрібно активно зламувати таку систему – достатньо того, що така можливість існує і що компанію можуть юридично змусити до співпраці. Для компаній із високими вимогами до безпеки, державних органів або критичної інфраструктури Passwork не може бути рекомендований на основі цих висновків».

Висновок експерта підтверджується і технічними даними. За інформацією з DomainTools Iris (сервіс, який допомагає досліджувати домени, сайти, IP-адреси), домен passwork.pro ще у 2014 році був зареєстрований на Андрєя П’янкова – співвласника російського «Пассворка». У записах вказана адреса в Архангельську і російські контакти, без жодної згадки про європейські структури. Це означає, що продукт із самого початку створювався в Росії, а «європейська» компанія з’явилася значно пізніше

Скриншот з мережі Інтернет

Ми не знайшли доказів того, що Passwork використовується для шпигунства чи передачі даних російським спецслужбам. Але ми встановили інше: продукт російського походження, який застосовують європейські державні установи, залишається пов’язаним із російською правовою та технічною екосистемою. А коли йдеться про менеджер паролів – програмне забезпечення, яке фактично керує доступом до цифрової інфраструктури, – навіть потенційний ризик уже має значення.

Так само, історія Passwork вчергове підтверджує, що росіяни імітуючи діяльність у європейському середовищі, завжди залишаються під контролем владних спецслужб. І це завжди ризик, коли під виглядом «європейських» ІТ-рішень у критичну інфраструктуру заходять інструменти, пов’язані з юрисдикцією держави-агресора. Сам факт існування юридичного обов’язку співпраці з ФСБ, поєднаний із доступом до паролів, створює вразливість, яку не можна ігнорувати. У сучасному світі, де будь-яка інформація – це влада, питання не в тому, чи стався витік. Питання – хто має до нього ключ.

Якщо Ви помітили орфографічну помилку, виділіть її мишкою і натисніть на “Повідомити про помилку”.
Поділитися матеріалом
Автори матеріалу
4
Закрити
Помилка в тексті

    Скасувати
    Дякую
    Повідомлення про помилку успішно надіслано
    Закрити
    Підписка оформлена
    Дякуємо, що ви з нами.
    Щомісячні огляди вже скоро!
    Закрити
    Підтвердження e-mail
    Дякуємо, що ви з нами.

    Лист для підтвердження підписки відправлено на вказаний e-mail.
    Закрити