Stjórnandi Jabber netþjónsins jabber.ru (xmpp.ru) greindi árás til að afkóða notendaumferð (MITM), sem gerð var á 90 dögum til 6 mánuðum á netkerfum þýsku hýsingarveitnanna Hetzner og Linode, sem hýsa verkefnaþjónn og auka VPS.umhverfi. Árásin er skipulögð með því að beina umferð á flutningshnút sem kemur í stað TLS vottorðsins fyrir XMPP tengingar sem eru dulkóðaðar með STARTTLS viðbótinni.
Árásarinnar varð vart vegna villu skipuleggjenda hennar, sem höfðu ekki tíma til að endurnýja TLS vottorðið sem notað var við skopstælinguna. Þann 16. október fékk stjórnandi jabber.ru, þegar hann reyndi að tengjast þjónustunni, villuboð vegna þess að skírteinið rennur út, en vottorðið sem staðsett var á þjóninum var ekki útrunnið. Fyrir vikið kom í ljós að skírteinið sem viðskiptavinurinn fékk var annað en vottorðið sem þjónninn sendi. Fyrsta falsaða TLS vottorðið var fengið 18. apríl 2023 í gegnum Let's Encrypt þjónustuna, þar sem árásarmaðurinn, sem gat stöðvað umferð, gat staðfest aðgang að síðunum jabber.ru og xmpp.ru.
Í fyrstu var gengið út frá því að verkefnaþjónninn hefði verið í hættu og verið væri að skipta út á hans hlið. En úttektin leiddi ekki í ljós nein ummerki um innbrot. Á sama tíma varð vart við skammtímaslökkvun og kveikingu á netviðmótinu (NIC Link is Down/NIC Link is Up) í skránni á þjóninum sem var framkvæmd 18. júlí klukkan 12:58 og gæti gefa til kynna meðferð með tengingu þjónsins við rofann. Það er athyglisvert að tvö fölsuð TLS vottorð voru búin til nokkrum mínútum fyrr - þann 18. júlí klukkan 12:49 og 12:38.
Að auki var skiptingin ekki aðeins framkvæmd á neti Hetzner-veitunnar, sem hýsir aðalþjóninn, heldur einnig í neti Linode-veitunnar, sem hýsti VPS-umhverfi með aukaumboðum sem vísa umferð frá öðrum vistföngum. Óbeint kom í ljós að umferð um netgátt 5222 (XMPP STARTTLS) í netkerfum beggja veitenda var vísað í gegnum viðbótarhýsil, sem gaf tilefni til að ætla að árásin hafi verið gerð af einstaklingi með aðgang að innviðum veitenda.
Fræðilega séð gæti skiptingin hafa farið fram frá 18. apríl (dagsetning fyrsta falsa vottorðsins fyrir jabber.ru), en staðfest tilvik um útskipti vottorða voru aðeins skráð frá 21. júlí til 19. október, allan þennan tíma dulkóðuð gagnaskipti með jabber.ru og xmpp.ru geta talist í hættu. Skiptingin hætti eftir að rannsókn hófst, prófanir voru gerðar og beiðni var send til stuðningsþjónustu Hetzner og Linode þann 18. október. Á sama tíma er enn vart við viðbótar umskipti þegar beina pakka sem eru sendir á port 5222 á einum af netþjónunum í Linode í dag, en ekki er lengur skipt út fyrir skírteini.
Gert er ráð fyrir að árásin hefði getað verið framkvæmd með vitund veitenda að kröfu lögregluyfirvalda, vegna innbrots innviða beggja þjónustuveitenda eða af starfsmanni sem hafði aðgang að báðum veitendum. Með því að geta stöðvað og breytt XMPP umferð gæti árásarmaðurinn fengið aðgang að öllum reikningstengdum gögnum, svo sem skilaboðasögu sem geymdur er á þjóninum, og gæti líka sent skilaboð fyrir hönd annarra og gert breytingar á skilaboðum annarra. Skilaboð sem send eru með enda-til-enda dulkóðun (OMEMO, OTR eða PGP) geta talist ekki í hættu ef dulkóðunarlyklar eru staðfestir af notendum beggja vegna tengingarinnar. Jabber.ru notendum er bent á að breyta aðgangsorðum sínum og athuga OMEMO og PGP lyklana í PEP geymslum sínum fyrir mögulega skiptingu.
Heimild: opennet.ru