Administrator server Jabber jabber.ru (xmpp.ru) mengidentifikasi serangan untuk mendekripsi lalu lintas pengguna (MITM), yang dilakukan selama 90 hari hingga 6 bulan di jaringan penyedia hosting Jerman Hetzner dan Linode, yang menjadi tuan rumah server proyek dan lingkungan VPS tambahan. Serangan ini diatur dengan mengarahkan lalu lintas ke node transit yang menggantikan sertifikat TLS untuk koneksi XMPP yang dienkripsi menggunakan ekstensi STARTTLS.
Serangan itu diketahui karena kesalahan penyelenggaranya, yang tidak punya waktu untuk memperbarui sertifikat TLS yang digunakan untuk spoofing. Pada 16 Oktober, administrator jabber.ru, ketika mencoba menyambung ke layanan, menerima pesan kesalahan karena masa berlaku sertifikat telah habis, tetapi sertifikat yang terletak di server belum kedaluwarsa. Alhasil, ternyata sertifikat yang diterima klien berbeda dengan sertifikat yang dikirim server. Sertifikat TLS palsu pertama diperoleh pada 18 April 2023 melalui layanan Let's Encrypt, di mana penyerang, yang mampu mencegat lalu lintas, dapat mengonfirmasi akses ke situs jabber.ru dan xmpp.ru.
Pada awalnya, ada asumsi bahwa server proyek telah disusupi dan substitusi sedang dilakukan di sisinya. Namun audit tersebut tidak mengungkapkan adanya jejak peretasan. Pada saat yang sama, dalam log di server, peralihan jangka pendek dan pengaktifan antarmuka jaringan (NIC Link is Down/NIC Link is Up) diketahui, yang dilakukan pada 18 Juli pukul 12:58 dan dapat menunjukkan manipulasi dengan koneksi server ke switch. Patut dicatat bahwa dua sertifikat TLS palsu dibuat beberapa menit sebelumnya - pada 18 Juli pukul 12:49 dan 12:38.
Selain itu, substitusi dilakukan tidak hanya di jaringan penyedia Hetzner, yang menghosting server utama, tetapi juga di jaringan penyedia Linode, yang menghosting lingkungan VPS dengan proxy tambahan yang mengalihkan lalu lintas dari alamat lain. Secara tidak langsung, ditemukan bahwa lalu lintas ke port jaringan 5222 (XMPP STARTTLS) di jaringan kedua penyedia dialihkan melalui host tambahan, yang memberikan alasan untuk percaya bahwa serangan tersebut dilakukan oleh seseorang yang memiliki akses ke infrastruktur penyedia.
Secara teoritis, penggantian dapat dilakukan mulai 18 April (tanggal pembuatan sertifikat palsu pertama untuk jabber.ru), namun kasus penggantian sertifikat yang dikonfirmasi hanya dicatat dari 21 Juli hingga 19 Oktober, selama ini pertukaran data terenkripsi dengan jabber.ru dan xmpp.ru dapat dianggap disusupi. Pergantian dihentikan setelah penyelidikan dimulai, pengujian dilakukan dan permintaan dikirim ke layanan dukungan penyedia Hetzner dan Linode pada 18 Oktober. Pada saat yang sama, transisi tambahan ketika merutekan paket yang dikirim ke port 5222 salah satu server di Linode masih terjadi hingga saat ini, tetapi sertifikat tidak lagi diganti.
Diasumsikan bahwa serangan tersebut dapat dilakukan dengan sepengetahuan penyedia layanan atas permintaan lembaga penegak hukum, sebagai akibat dari peretasan infrastruktur kedua penyedia, atau oleh karyawan yang memiliki akses ke kedua penyedia tersebut. Dengan kemampuan mencegat dan memodifikasi lalu lintas XMPP, penyerang dapat memperoleh akses ke semua data terkait akun, seperti riwayat pesan yang disimpan di server, dan juga dapat mengirim pesan atas nama orang lain dan membuat perubahan pada pesan orang lain. Pesan yang dikirim menggunakan enkripsi ujung ke ujung (OMEMO, OTR, atau PGP) dapat dianggap tidak disusupi jika kunci enkripsi diverifikasi oleh pengguna di kedua sisi koneksi. Pengguna Jabber.ru disarankan untuk mengubah kata sandi akses mereka dan memeriksa kunci OMEMO dan PGP di penyimpanan PEP mereka untuk kemungkinan penggantian.
Sumber: opennet.ru