Jabber.ru (xmpp.ru) серверінің әкімшісі пайдаланушы трафигінің (MITM) шифрын ашуға арналған шабуылды анықтады, ол 90 күннен 6 айға дейінгі кезеңде неміс хостинг-провайдерлерінің Hetzner және Linode желілерінде жүзеге асырылды. жоба сервері және көмекші VPS ортасы. Шабуыл STARTTLS кеңейтімі арқылы шифрланған XMPP қосылымдары үшін TLS сертификатын ауыстыратын трафикті трафик түйініне қайта бағыттау арқылы ұйымдастырылады.
Шабуыл жалғандық үшін пайдаланылған TLS сертификатын жаңартуға үлгермеген ұйымдастырушылардың қателігіне байланысты байқалды. 16 қазанда jabber.ru әкімшісі қызметке қосылуға әрекеттенген кезде сертификат мерзімінің аяқталуына байланысты қате туралы хабар алды, бірақ серверде орналасқан сертификаттың мерзімі аяқталмаған. Нәтижесінде клиент алған сертификат сервер жіберген сертификаттан басқа болып шықты. Бірінші жалған TLS сертификаты 18 жылдың 2023 сәуірінде Let's Encrypt қызметі арқылы алынды, онда шабуылдаушы трафикті ұстай отырып, jabber.ru және xmpp.ru сайттарына кіруді растай алды.
Бастапқыда жоба сервері бұзылған және оның жағында ауыстыру жүргізіліп жатыр деген болжам болды. Бірақ тексеру кезінде хакерлік шабуылдың ізі анықталмады. Сонымен қатар, сервердегі журналда 18 шілдеде сағат 12:58-де орындалған желі интерфейсінің қысқа мерзімді өшірілуі және қосылуы (NIC сілтемесі төмен/NIC сілтемесі жоғары) байқалды. серверді коммутаторға қосу арқылы манипуляцияларды көрсетеді. Бір қызығы, екі жалған TLS сертификаты бірнеше минут бұрын – 18 шілдеде 12:49 және 12:38-де жасалған.
Сонымен қатар, ауыстыру тек негізгі серверді орналастыратын Hetzner провайдерінің желісінде ғана емес, сонымен қатар басқа мекенжайлардан трафикті қайта бағыттайтын қосалқы проксилері бар VPS орталарын орналастырған Linode провайдерінің желісінде де жүзеге асырылды. Жанама түрде екі провайдердің де желілеріндегі 5222 желілік портқа (XMPP STARTTLS) трафик қосымша хост арқылы қайта бағытталғаны анықталды, бұл шабуылды провайдерлердің инфрақұрылымына қол жеткізе алатын адам жасады деп пайымдауға негіз болды.
Теориялық тұрғыдан ауыстыру 18 сәуірден (jabber.ru сайты үшін алғашқы жалған сертификат жасалған күн) жүзеге асырылуы мүмкін еді, бірақ сертификатты ауыстырудың расталған жағдайлары тек 21 шілдеден 19 қазанға дейін тіркелді, осы уақыт ішінде шифрланған деректер алмасу. jabber.ru және xmpp.ru көмегімен бұзылған деп санауға болады. Тергеу басталғаннан кейін ауыстыру тоқтатылды, сынақтар жүргізілді және 18 қазанда Hetzner және Linode провайдерлерінің қолдау қызметіне сұрау жіберілді. Сонымен қатар, Linode серверлерінің бірінің 5222 портына жіберілген пакеттерді бағыттау кезінде қосымша ауысу әлі де байқалады, бірақ сертификат енді ауыстырылмайды.
Шабуыл құқық қорғау органдарының сұрауы бойынша провайдерлердің хабардар болуымен, екі провайдердің де инфрақұрылымын бұзу нәтижесінде немесе екі провайдерге де рұқсаты бар қызметкердің қолымен жасалған болуы мүмкін деп болжануда. XMPP трафигін ұстап алу және өзгерту мүмкіндігінің арқасында шабуылдаушы серверде сақталған хабар алмасу тарихы сияқты тіркелгіге қатысты барлық деректерге қол жеткізе алады, сонымен қатар басқалар атынан хабарламалар жіберіп, басқа адамдардың хабарларына өзгерістер енгізе алады. Шифрлау кілттерін қосылымның екі жағындағы пайдаланушылар тексерсе, түпкілікті шифрлауды (OMEMO, OTR немесе PGP) пайдаланып жіберілген хабарлар бұзылмаған деп санауға болады. Jabber.ru пайдаланушыларына кіру құпия сөздерін өзгертуге және мүмкін ауыстыру үшін PEP қоймаларындағы OMEMO және PGP кілттерін тексеруге кеңес беріледі.
Ақпарат көзі: opennet.ru