Jabber-palvelimen jabber.ru (xmpp.ru) järjestelmänvalvoja tunnisti käyttäjäliikenteen salauksen purkamishyökkäyksen (MITM), joka suoritettiin 90 päivän - 6 kuukauden aikana saksalaisten isännöintipalvelujen tarjoajien Hetznerin ja Linoden verkoissa, jotka isännöivät projektipalvelin ja lisä-VPS-ympäristö. Hyökkäys järjestetään ohjaamalla liikenne siirtosolmuun, joka korvaa STARTTLS-laajennuksella salattujen XMPP-yhteyksien TLS-varmenteen.
Hyökkäys havaittiin virheen vuoksi sen järjestäjien toimesta, sillä he eivät ehtineet uusia huijaukseen käytettyä TLS-varmennetta. Lokakuun 16. päivänä jabber.ru:n järjestelmänvalvoja, yrittäessään muodostaa yhteyden palveluun, sai virheilmoituksen varmenteen vanhenemisesta, mutta palvelimella oleva varmenne ei ollut vanhentunut. Tämän seurauksena kävi ilmi, että asiakkaan saama varmenne oli eri kuin palvelimen lähettämä varmenne. Ensimmäinen väärennetty TLS-sertifikaatti hankittiin 18. huhtikuuta 2023 Let's Encrypt -palvelun kautta, jossa hyökkääjä pystyi sieppaamaan liikennettä ja vahvistamaan pääsyn sivustoille jabber.ru ja xmpp.ru.
Aluksi oletettiin, että projektipalvelin oli vaarantunut ja että sen puolella oli käynnissä vaihto. Tarkastuksessa ei kuitenkaan löytynyt hakkeroinnin jälkiä. Samanaikaisesti palvelimen lokissa havaittiin lyhytaikainen verkkoliitännän pois- ja päällekytkentä (NIC-linkki on alas/NIC-linkki ylös), joka suoritettiin 18. heinäkuuta klo 12:58 ja voitiin osoittavat manipulaatiot palvelimen kytkemisessä kytkimeen. On huomionarvoista, että kaksi väärennettyä TLS-varmennetta luotiin muutama minuutti aiemmin - 18. heinäkuuta klo 12 ja 49.
Lisäksi vaihtoa ei suoritettu vain Hetzner-palveluntarjoajan verkossa, joka isännöi pääpalvelinta, vaan myös Linode-palveluntarjoajan verkossa, joka isännöi VPS-ympäristöjä apuvälityspalvelimilla, jotka ohjaavat liikennettä muista osoitteista. Epäsuorasti havaittiin, että liikenne molempien palveluntarjoajien verkoissa verkkoporttiin 5222 (XMPP STARTTLS) ohjattiin ylimääräisen isännän kautta, mikä antoi aihetta olettaa, että hyökkäyksen teki henkilö, jolla oli pääsy palveluntarjoajien infrastruktuuriin.
Teoriassa korvaaminen olisi voitu suorittaa huhtikuun 18. päivästä (jabber.ru:n ensimmäisen väärennetyn varmenteen luomispäivämäärä), mutta vahvistetut varmenteen vaihtotapaukset kirjattiin vasta 21. heinäkuuta - 19. lokakuuta, koko tämän ajan salattua tiedonvaihtoa jabber.ru:n ja xmpp.ru:n kanssa voidaan katsoa vaarantuneiksi. Korvaaminen lopetettiin, kun tutkinta alkoi, testit suoritettiin ja pyyntö lähetettiin palveluntarjoajien Hetznerin ja Linoden tukipalveluun 18. lokakuuta. Samanaikaisesti yhden Linodessa olevan palvelimen porttiin 5222 lähetettyjen pakettien reitittämisessä havaitaan edelleen lisäsiirtymä, mutta varmennetta ei enää korvata.
Oletuksena on, että hyökkäys olisi voitu toteuttaa palveluntarjoajien tietäen lainvalvontaviranomaisten pyynnöstä, molempien palveluntarjoajien infrastruktuurien hakkeroinnin seurauksena tai työntekijän, jolla oli pääsy molempiin palveluntarjoajiin. Pystyessään sieppaamaan ja muokkaamaan XMPP-liikennettä, hyökkääjä voi päästä käsiksi kaikkiin tiliin liittyviin tietoihin, kuten palvelimelle tallennettuun viestihistoriaan, ja voi myös lähettää viestejä muiden puolesta ja tehdä muutoksia muiden viesteihin. Päästä-päähän-salauksella (OMEMO, OTR tai PGP) lähetetyt viestit voidaan katsoa vaarantumattomiksi, jos käyttäjät varmistavat salausavaimet yhteyden molemmilla puolilla. Jabber.ru-käyttäjiä kehotetaan vaihtamaan pääsysalasanansa ja tarkistamaan PEP-tallennustiloissaan olevat OMEMO- ja PGP-avaimet mahdollisten korvausten varalta.
Lähde: opennet.ru