Jabber serverinin (xmpp.ru) administratoru jabber.ru (xmpp.ru) alman hostinq provayderləri Hetzner və Linode şəbəkələrində 90 gündən 6 aya qədər müddət ərzində istifadəçi trafikinin (MITM) şifrəsini açmaq üçün hücumu müəyyən edib. layihə serveri və köməkçi VPS mühiti. Hücum STARTTLS genişləndirilməsi ilə şifrələnmiş XMPP bağlantıları üçün TLS sertifikatını əvəz edən tranzit qovşağına trafikin yönləndirilməsi ilə təşkil edilir.
Hücum, saxtakarlıq üçün istifadə edilən TLS sertifikatını yeniləməyə vaxt tapmayan təşkilatçıların səhvi səbəbindən fərq edildi. Oktyabrın 16-da jabber.ru saytının administratoru xidmətə qoşulmaq istəyərkən sertifikatın müddəti bitdiyinə görə xəta mesajı alıb, lakin serverdə yerləşən sertifikatın müddəti bitməyib. Nəticədə müştərinin aldığı sertifikatın server tərəfindən göndərilən sertifikatdan fərqli olduğu ortaya çıxıb. İlk saxta TLS sertifikatı 18-cü il aprelin 2023-də “Let's Encrypt” xidməti vasitəsilə əldə edilib ki, bu xidmətdə hücumçu trafikə müdaxilə edə bilərək jabber.ru və xmpp.ru saytlarına girişi təsdiq edə bilib.
Əvvəlcə layihə serverinin pozulduğu və onun tərəfində əvəzetmənin aparıldığı ehtimalı var idi. Amma audit heç bir hakerlik izi aşkar etməyib. Eyni zamanda, serverdəki jurnalda 18 iyul saat 12:58-də həyata keçirilən və şəbəkə interfeysinin qısamüddətli söndürülməsi və işə salınması (NIC Link aşağı/NIC Link is Up) qeyd edildi. serverin keçidə qoşulması ilə manipulyasiyaları göstərir. Maraqlıdır ki, bir neçə dəqiqə əvvəl - iyulun 18-də saat 12:49 və 12:38-də iki saxta TLS sertifikatı yaradılıb.
Bundan əlavə, əvəzetmə təkcə əsas serverin yerləşdiyi Hetzner provayderinin şəbəkəsində deyil, həm də digər ünvanlardan trafiki yönləndirən köməkçi proksiləri olan VPS mühitlərinin yerləşdiyi Linode provayderinin şəbəkəsində həyata keçirilib. Dolayı yolla, hər iki provayderin şəbəkələrində 5222 şəbəkə portuna (XMPP STARTTLS) trafikin əlavə host vasitəsilə yönləndirildiyi aşkar edilib ki, bu da hücumun provayderlərin infrastrukturuna çıxışı olan şəxs tərəfindən həyata keçirildiyini düşünməyə əsas verir.
Nəzəri olaraq, əvəzetmə aprelin 18-dən (jabber.ru üçün ilk saxta sertifikatın yaradıldığı tarixdən) həyata keçirilə bilərdi, lakin sertifikatın dəyişdirilməsinin təsdiqlənmiş halları yalnız iyulun 21-dən oktyabrın 19-dək qeydə alınıb, bütün bu müddət ərzində şifrəli məlumat mübadiləsi aparılıb. jabber.ru və xmpp.ru ilə kompromis hesab edilə bilər. İstintaq başlayandan sonra əvəzetmə dayandırılıb, sınaqlar keçirilib və oktyabrın 18-də Hetzner və Linode provayderlərinin dəstək xidmətinə sorğu göndərilib. Eyni zamanda, Linode-dəki serverlərdən birinin 5222 portuna göndərilən paketləri marşrutlaşdırarkən əlavə keçid bu gün də müşahidə olunur, lakin sertifikat artıq dəyişdirilmir.
Ehtimal olunur ki, hücum hüquq-mühafizə orqanlarının tələbi ilə provayderlərin məlumatı ilə, hər iki provayderin infrastrukturunun sındırılması nəticəsində və ya hər iki provayderə çıxışı olan işçi tərəfindən həyata keçirilə bilərdi. XMPP trafikini ələ keçirə və dəyişdirə bilməklə, təcavüzkar serverdə saxlanılan mesajlaşma tarixçəsi kimi hesabla əlaqəli bütün məlumatlara giriş əldə edə, həmçinin başqalarının adından mesaj göndərə və digər insanların mesajlarında dəyişiklik edə bilər. Şifrələmə açarları əlaqənin hər iki tərəfindəki istifadəçilər tərəfindən təsdiqlənərsə, uç-to-end şifrələmədən (OMEMO, OTR və ya PGP) istifadə edərək göndərilən mesajlar pozulmamış hesab edilə bilər. Jabber.ru istifadəçilərinə giriş parollarını dəyişdirmək və mümkün əvəzetmə üçün PEP anbarlarında OMEMO və PGP açarlarını yoxlamaq tövsiyə olunur.
Mənbə: opennet.ru