የጃበር አገልጋይ jabber.ru (xmpp.ru) አስተዳዳሪ የተጠቃሚ ትራፊክን (ኤምቲኤም) ዲክሪፕት ለማድረግ የተደረገ ጥቃትን ለይቷል፣ ከ90 ቀናት እስከ 6 ወራት ባለው ጊዜ ውስጥ በጀርመን አስተናጋጅ አቅራቢዎች Hetzner እና Linode አውታረ መረቦች ውስጥ የተፈፀመ ሲሆን፤ የፕሮጀክት አገልጋይ እና ረዳት VPS አካባቢ። ጥቃቱ የተደራጀው የSTARTTLS ቅጥያውን በመጠቀም የተመሰጠረውን የኤክስኤምፒፒ ግንኙነቶች የTLS ሰርተፍኬት ወደ ሚተካ የትራንዚት መስቀለኛ መንገድ በማዘዋወር ነው።
ጥቃቱ የተስተዋለው በአዘጋጆቹ በተፈጠረ ስህተት ነው፣ እነሱም ለመጥፎ ጥቅም ላይ የዋለውን የTLS ሰርተፍኬት ለማደስ ጊዜ አልነበራቸውም። በጥቅምት 16, የ jabber.ru አስተዳዳሪ, ከአገልግሎቱ ጋር ለመገናኘት ሲሞክር, የምስክር ወረቀቱ በማለቁ ምክንያት የስህተት መልእክት ደርሶታል, ነገር ግን በአገልጋዩ ላይ ያለው የምስክር ወረቀት ጊዜው አላለፈም. በዚህ ምክንያት ደንበኛው የተቀበለው ሰርተፍኬት በአገልጋዩ ከላከው የምስክር ወረቀት የተለየ ሆኖ ተገኝቷል. የመጀመሪያው የውሸት የTLS ሰርተፍኬት የተገኘው በኤፕሪል 18፣ 2023 በ Let's Encrypt አገልግሎት ሲሆን አጥቂው ትራፊክን ለመጥለፍ በመቻሉ jabber.ru እና xmpp.ru የድረ-ገጾቹን መዳረሻ ማረጋገጥ ችሏል።
መጀመሪያ ላይ የፕሮጀክት አገልጋዩ ተበላሽቷል እና በእሱ በኩል ምትክ እየተካሄደ ነው የሚል ግምት ነበር. ነገር ግን ኦዲቱ ምንም አይነት የጠለፋ ምልክት አላሳየም። በተመሳሳይ ጊዜ በአገልጋዩ ላይ ባለው ሎግ ውስጥ የአጭር ጊዜ ማጥፋት እና የአውታረ መረብ በይነገጽ (NIC Link is Down/NIC Link is Up) ታይቷል፣ ይህም በጁላይ 18 ቀን 12፡58 ላይ የተደረገ እና ሊሆን ይችላል። ከአገልጋዩ ጋር ከማቀያየር ጋር ያለውን ግንኙነት ያመልክቱ። ከጥቂት ደቂቃዎች በፊት ሁለት የውሸት የTLS ሰርተፊኬቶች መፈጠሩ ትኩረት የሚስብ ነው - ጁላይ 18 ቀን 12፡49 እና 12፡38።
በተጨማሪም ፣ መተኪያው የተካሄደው በሄትዝነር አቅራቢው አውታረመረብ ውስጥ ብቻ ሳይሆን ዋናውን አገልጋይ የሚያስተናግደው በሊኖድ አቅራቢው የ VPS አካባቢዎችን ከሌሎች አድራሻዎች ትራፊክ የሚቀይሩ ረዳት ፕሮክሲዎችን በማስተናገድ ነው። በተዘዋዋሪ በሁለቱ አቅራቢዎች ኔትወርኮች ውስጥ ወደ ኔትወርክ ወደብ 5222 (XMPP STARTTLS) ትራፊክ ወደ ተጨማሪ አስተናጋጅነት መዞሩ ተረጋግጧል ይህም ጥቃቱ የተፈፀመው በአቅራቢዎች መሠረተ ልማት ባለው ሰው ነው ብሎ ለማመን ምክንያት ሆኗል።
በንድፈ ሀሳብ ፣ መተካቱ ከኤፕሪል 18 (የመጀመሪያው የውሸት የምስክር ወረቀት ለ jabber.ru የተፈጠረበት ቀን) ሊከናወን ይችል ነበር ፣ ግን የምስክር ወረቀት የመተካት ጉዳዮች የተመዘገቡት ከጁላይ 21 እስከ ኦክቶበር 19 ብቻ ነው ፣ በዚህ ጊዜ ሁሉ ምስጢራዊ የመረጃ ልውውጥ። በ jabber.ru እና xmpp.ru እንደ ተጠቂ ሊቆጠር ይችላል። ምርመራው ከተጀመረ በኋላ መተካቱ ቆመ፣ ፈተናዎች ተካሂደዋል እና በጥቅምት 18 ቀን ወደ አቅራቢዎች ሄትዝነር እና ሊኖድ ድጋፍ አገልግሎት ጥያቄ ተልኳል። በተመሳሳይ ጊዜ በLinode ውስጥ ካሉት አገልጋዮች ወደ አንዱ ወደብ 5222 የተላኩ የማዞሪያ ፓኬቶች ተጨማሪ ሽግግር ዛሬም ይስተዋላል፣ ነገር ግን የምስክር ወረቀቱ ከአሁን በኋላ አልተተካም።
ጥቃቱ የሁለቱንም አቅራቢዎች መሰረተ ልማቶች በመጥለፍ ወይም ከሁለቱም አቅራቢዎች ጋር በተገናኘ ሰራተኛ በህግ አስከባሪ ኤጀንሲዎች ጥያቄ መሰረት አቅራቢዎቹን አውቆ ሊሆን ይችላል ተብሎ ይታሰባል። የXMPP ትራፊክን በመጥለፍ እና በማስተካከል አጥቂው ሁሉንም ከመለያ ጋር የተገናኙ መረጃዎችን ለምሳሌ በአገልጋዩ ላይ የተከማቸ የመልእክት መላላኪያ ታሪክን ማግኘት ይችላል እና እንዲሁም ሌሎችን ወክሎ መልዕክቶችን መላክ እና በሌሎች ሰዎች መልእክት ላይ ለውጥ ማድረግ ይችላል። ከጫፍ እስከ ጫፍ ምስጠራን (OMEMO፣ OTR ወይም PGP) በመጠቀም የተላኩ መልእክቶች የማመስጠር ቁልፎቹ በሁለቱም የግንኙነቱ ክፍል ላይ ባሉ ተጠቃሚዎች ከተረጋገጡ ያልተጣሱ ተደርገው ሊወሰዱ ይችላሉ። የJaber.ru ተጠቃሚዎች የመዳረሻ የይለፍ ቃሎቻቸውን እንዲቀይሩ እና በተቻለ መጠን ለመተካት በ PEP ማከማቻዎቻቸው ውስጥ ያሉትን OMEMO እና PGP ቁልፎችን እንዲያረጋግጡ ይመከራሉ።
ምንጭ: opennet.ru