Ο διαχειριστής του διακομιστή Jabber jabber.ru (xmpp.ru) εντόπισε μια επίθεση για την αποκρυπτογράφηση της κίνησης χρηστών (MITM), που πραγματοποιήθηκε σε διάστημα 90 ημερών έως 6 μηνών στα δίκτυα των γερμανικών παρόχων φιλοξενίας Hetzner και Linode, που φιλοξενούν το διακομιστή έργου και βοηθητικό περιβάλλον VPS. Η επίθεση οργανώνεται ανακατευθύνοντας την κυκλοφορία σε έναν κόμβο διέλευσης που αντικαθιστά το πιστοποιητικό TLS για συνδέσεις XMPP κρυπτογραφημένες με χρήση της επέκτασης STARTTLS.
Η επίθεση έγινε αντιληπτή λόγω λάθους των διοργανωτών της, οι οποίοι δεν πρόλαβαν να ανανεώσουν το πιστοποιητικό TLS που χρησιμοποιήθηκε για την πλαστογράφηση. Στις 16 Οκτωβρίου, ο διαχειριστής του jabber.ru, όταν προσπάθησε να συνδεθεί στην υπηρεσία, έλαβε ένα μήνυμα σφάλματος λόγω της λήξης του πιστοποιητικού, αλλά το πιστοποιητικό που βρίσκεται στον διακομιστή δεν είχε λήξει. Ως αποτέλεσμα, αποδείχθηκε ότι το πιστοποιητικό που έλαβε ο πελάτης ήταν διαφορετικό από το πιστοποιητικό που έστειλε ο διακομιστής. Το πρώτο πλαστό πιστοποιητικό TLS αποκτήθηκε στις 18 Απριλίου 2023 μέσω της υπηρεσίας Let's Encrypt, στην οποία ο εισβολέας, έχοντας τη δυνατότητα να παρεμποδίσει την κυκλοφορία, μπόρεσε να επιβεβαιώσει την πρόσβαση στους ιστότοπους jabber.ru και xmpp.ru.
Αρχικά, υπήρχε η υπόθεση ότι ο διακομιστής του έργου είχε παραβιαστεί και ότι γινόταν αντικατάσταση από την πλευρά του. Όμως ο έλεγχος δεν αποκάλυψε ίχνη πειρατείας. Ταυτόχρονα, στο αρχείο καταγραφής του διακομιστή, παρατηρήθηκε βραχυπρόθεσμη απενεργοποίηση και ενεργοποίηση της διεπαφής δικτύου (NIC Link is Down/NIC Link is Up), η οποία πραγματοποιήθηκε στις 18 Ιουλίου στις 12:58 και θα μπορούσε υποδεικνύουν χειρισμούς με τη σύνδεση του διακομιστή με το διακόπτη. Αξίζει να σημειωθεί ότι δύο πλαστά πιστοποιητικά TLS δημιουργήθηκαν λίγα λεπτά νωρίτερα - στις 18 Ιουλίου στις 12:49 και στις 12:38.
Επιπλέον, η αντικατάσταση πραγματοποιήθηκε όχι μόνο στο δίκτυο του παρόχου Hetzner, που φιλοξενεί τον κύριο διακομιστή, αλλά και στο δίκτυο του παρόχου Linode, ο οποίος φιλοξενούσε περιβάλλοντα VPS με βοηθητικούς διακομιστή μεσολάβησης που ανακατευθύνουν την κίνηση από άλλες διευθύνσεις. Έμμεσα, διαπιστώθηκε ότι η κίνηση στη θύρα δικτύου 5222 (XMPP STARTTLS) στα δίκτυα και των δύο παρόχων ανακατευθύνθηκε μέσω ενός επιπλέον κεντρικού υπολογιστή, γεγονός που έδωσε λόγο να πιστεύουμε ότι η επίθεση πραγματοποιήθηκε από άτομο με πρόσβαση στην υποδομή των παρόχων.
Θεωρητικά, η αντικατάσταση θα μπορούσε να είχε πραγματοποιηθεί από τις 18 Απριλίου (ημερομηνία δημιουργίας του πρώτου πλαστού πιστοποιητικού για το jabber.ru), αλλά επιβεβαιωμένες περιπτώσεις αντικατάστασης πιστοποιητικού καταγράφηκαν μόνο από τις 21 Ιουλίου έως τις 19 Οκτωβρίου, όλο αυτό το διάστημα κρυπτογραφημένη ανταλλαγή δεδομένων με το jabber.ru και το xmpp.ru μπορεί να θεωρηθεί παραβιασμένο. Η αντικατάσταση σταμάτησε μετά την έναρξη της έρευνας, διενεργήθηκαν δοκιμές και εστάλη αίτημα στην υπηρεσία υποστήριξης των παρόχων Hetzner και Linode στις 18 Οκτωβρίου. Ταυτόχρονα, μια πρόσθετη μετάβαση κατά τη δρομολόγηση πακέτων που αποστέλλονται στη θύρα 5222 ενός από τους διακομιστές στο Linode εξακολουθεί να παρατηρείται σήμερα, αλλά το πιστοποιητικό δεν αντικαθίσταται πλέον.
Θεωρείται ότι η επίθεση θα μπορούσε να είχε πραγματοποιηθεί εν γνώσει των παρόχων κατόπιν αιτήματος των υπηρεσιών επιβολής του νόμου, ως αποτέλεσμα της παραβίασης των υποδομών και των δύο παρόχων ή από έναν υπάλληλο που είχε πρόσβαση και στους δύο παρόχους. Με το να μπορεί να υποκλέψει και να τροποποιήσει την κυκλοφορία XMPP, ο εισβολέας θα μπορούσε να αποκτήσει πρόσβαση σε όλα τα δεδομένα που σχετίζονται με τον λογαριασμό, όπως το ιστορικό μηνυμάτων που είναι αποθηκευμένο στον διακομιστή, και θα μπορούσε επίσης να στείλει μηνύματα για λογαριασμό άλλων και να κάνει αλλαγές στα μηνύματα άλλων ατόμων. Τα μηνύματα που αποστέλλονται με κρυπτογράφηση από άκρο σε άκρο (OMEMO, OTR ή PGP) μπορούν να θεωρηθούν ότι δεν έχουν παραβιαστεί εάν τα κλειδιά κρυπτογράφησης επαληθεύονται από τους χρήστες και στις δύο πλευρές της σύνδεσης. Συνιστάται στους χρήστες του Jabber.ru να αλλάξουν τους κωδικούς πρόσβασης και να ελέγξουν τα κλειδιά OMEMO και PGP στις αποθήκες PEP τους για πιθανή αντικατάσταση.
Πηγή: opennet.ru