Jabber ಸರ್ವರ್ನ ನಿರ್ವಾಹಕರು jabber.ru (xmpp.ru) ಬಳಕೆದಾರರ ಟ್ರಾಫಿಕ್ (MITM) ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ದಾಳಿಯನ್ನು ಗುರುತಿಸಿದ್ದಾರೆ, ಇದನ್ನು 90 ದಿನಗಳಿಂದ 6 ತಿಂಗಳವರೆಗೆ ಜರ್ಮನ್ ಹೋಸ್ಟಿಂಗ್ ಪೂರೈಕೆದಾರರಾದ ಹೆಟ್ಜ್ನರ್ ಮತ್ತು ಲಿನೋಡ್ ಅವರ ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ನಡೆಸಲಾಯಿತು. ಯೋಜನೆಯ ಸರ್ವರ್ ಮತ್ತು ಸಹಾಯಕ VPS ಪರಿಸರ. STARTTLS ವಿಸ್ತರಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ XMPP ಸಂಪರ್ಕಗಳಿಗಾಗಿ TLS ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬದಲಿಸುವ ಸಾರಿಗೆ ನೋಡ್ಗೆ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಮರುನಿರ್ದೇಶಿಸುವ ಮೂಲಕ ದಾಳಿಯನ್ನು ಆಯೋಜಿಸಲಾಗಿದೆ.
ವಂಚನೆಗಾಗಿ ಬಳಸಲಾದ TLS ಪ್ರಮಾಣಪತ್ರವನ್ನು ನವೀಕರಿಸಲು ಸಮಯ ಹೊಂದಿಲ್ಲದ ಅದರ ಸಂಘಟಕರ ದೋಷದಿಂದಾಗಿ ದಾಳಿಯು ಗಮನಕ್ಕೆ ಬಂದಿದೆ. ಅಕ್ಟೋಬರ್ 16 ರಂದು, jabber.ru ನ ನಿರ್ವಾಹಕರು, ಸೇವೆಗೆ ಸಂಪರ್ಕಿಸಲು ಪ್ರಯತ್ನಿಸುವಾಗ, ಪ್ರಮಾಣಪತ್ರದ ಮುಕ್ತಾಯದ ಕಾರಣ ದೋಷ ಸಂದೇಶವನ್ನು ಸ್ವೀಕರಿಸಿದರು, ಆದರೆ ಸರ್ವರ್ನಲ್ಲಿರುವ ಪ್ರಮಾಣಪತ್ರದ ಅವಧಿ ಮುಗಿದಿಲ್ಲ. ಪರಿಣಾಮವಾಗಿ, ಕ್ಲೈಂಟ್ ಸ್ವೀಕರಿಸಿದ ಪ್ರಮಾಣಪತ್ರವು ಸರ್ವರ್ ಕಳುಹಿಸಿದ ಪ್ರಮಾಣಪತ್ರಕ್ಕಿಂತ ಭಿನ್ನವಾಗಿದೆ ಎಂದು ಅದು ಬದಲಾಯಿತು. ಮೊದಲ ನಕಲಿ TLS ಪ್ರಮಾಣಪತ್ರವನ್ನು ಏಪ್ರಿಲ್ 18, 2023 ರಂದು ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಸೇವೆಯ ಮೂಲಕ ಪಡೆಯಲಾಗಿದೆ, ಇದರಲ್ಲಿ ಆಕ್ರಮಣಕಾರರು ಟ್ರಾಫಿಕ್ ಅನ್ನು ತಡೆಯಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ, jabber.ru ಮತ್ತು xmpp.ru ಸೈಟ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಖಚಿತಪಡಿಸಲು ಸಾಧ್ಯವಾಯಿತು.
ಮೊದಲಿಗೆ, ಪ್ರಾಜೆಕ್ಟ್ ಸರ್ವರ್ಗೆ ಧಕ್ಕೆಯಾಗಿದೆ ಮತ್ತು ಅದರ ಬದಿಯಲ್ಲಿ ಪರ್ಯಾಯವನ್ನು ಕೈಗೊಳ್ಳಲಾಗುತ್ತಿದೆ ಎಂಬ ಊಹೆ ಇತ್ತು. ಆದರೆ ಆಡಿಟ್ನಲ್ಲಿ ಹ್ಯಾಕಿಂಗ್ನ ಯಾವುದೇ ಕುರುಹುಗಳು ಪತ್ತೆಯಾಗಿಲ್ಲ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಸರ್ವರ್ನಲ್ಲಿನ ಲಾಗ್ನಲ್ಲಿ, ಅಲ್ಪಾವಧಿಯ ಸ್ವಿಚ್ ಆಫ್ ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ (NIC ಲಿಂಕ್ ಡೌನ್ ಆಗಿದೆ/NIC ಲಿಂಕ್ ಆಗಿದೆ) ಗಮನಕ್ಕೆ ಬಂದಿದೆ, ಇದನ್ನು ಜುಲೈ 18 ರಂದು 12:58 ಕ್ಕೆ ನಡೆಸಲಾಯಿತು ಮತ್ತು ಸ್ವಿಚ್ಗೆ ಸರ್ವರ್ನ ಸಂಪರ್ಕದೊಂದಿಗೆ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್ಗಳನ್ನು ಸೂಚಿಸಿ. ಎರಡು ನಕಲಿ TLS ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಕೆಲವು ನಿಮಿಷಗಳ ಹಿಂದೆ ರಚಿಸಲಾಗಿದೆ ಎಂಬುದು ಗಮನಾರ್ಹವಾಗಿದೆ - ಜುಲೈ 18 ರಂದು 12:49 ಮತ್ತು 12:38 ಕ್ಕೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ಪರ್ಯಾಯವನ್ನು ಮುಖ್ಯ ಸರ್ವರ್ ಅನ್ನು ಹೋಸ್ಟ್ ಮಾಡುವ ಹೆಟ್ಜ್ನರ್ ಪೂರೈಕೆದಾರರ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಮಾತ್ರವಲ್ಲದೆ ಇತರ ವಿಳಾಸಗಳಿಂದ ದಟ್ಟಣೆಯನ್ನು ಮರುನಿರ್ದೇಶಿಸುವ ಸಹಾಯಕ ಪ್ರಾಕ್ಸಿಗಳೊಂದಿಗೆ VPS ಪರಿಸರವನ್ನು ಹೋಸ್ಟ್ ಮಾಡಿದ ಲಿನೋಡ್ ಪೂರೈಕೆದಾರರ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿಯೂ ಸಹ ಕೈಗೊಳ್ಳಲಾಯಿತು. ಪರೋಕ್ಷವಾಗಿ, ಎರಡೂ ಪೂರೈಕೆದಾರರ ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿನ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ 5222 (XMPP STARTTLS) ಗೆ ಸಂಚಾರವನ್ನು ಹೆಚ್ಚುವರಿ ಹೋಸ್ಟ್ ಮೂಲಕ ಮರುನಿರ್ದೇಶಿಸಲಾಗಿದೆ ಎಂದು ಕಂಡುಬಂದಿದೆ, ಇದು ಪೂರೈಕೆದಾರರ ಮೂಲಸೌಕರ್ಯಕ್ಕೆ ಪ್ರವೇಶ ಹೊಂದಿರುವ ವ್ಯಕ್ತಿಯಿಂದ ದಾಳಿಯನ್ನು ನಡೆಸಲಾಗಿದೆ ಎಂದು ನಂಬಲು ಕಾರಣವನ್ನು ನೀಡಿತು.
ಸೈದ್ಧಾಂತಿಕವಾಗಿ, ಪರ್ಯಾಯವನ್ನು ಏಪ್ರಿಲ್ 18 ರಿಂದ ನಡೆಸಬಹುದಿತ್ತು (jabber.ru ಗಾಗಿ ಮೊದಲ ನಕಲಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸಿದ ದಿನಾಂಕ), ಆದರೆ ಪ್ರಮಾಣಪತ್ರದ ಬದಲಿ ಪ್ರಕರಣಗಳನ್ನು ಜುಲೈ 21 ರಿಂದ ಅಕ್ಟೋಬರ್ 19 ರವರೆಗೆ ಮಾತ್ರ ದಾಖಲಿಸಲಾಗಿದೆ, ಈ ಸಮಯದಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಡೇಟಾ ವಿನಿಮಯ jabber.ru ಮತ್ತು xmpp.ru ಜೊತೆಗೆ ರಾಜಿ ಎಂದು ಪರಿಗಣಿಸಬಹುದು. ತನಿಖೆ ಪ್ರಾರಂಭವಾದ ನಂತರ ಪರ್ಯಾಯವನ್ನು ನಿಲ್ಲಿಸಲಾಯಿತು, ಪರೀಕ್ಷೆಗಳನ್ನು ನಡೆಸಲಾಯಿತು ಮತ್ತು ಅಕ್ಟೋಬರ್ 18 ರಂದು ಪೂರೈಕೆದಾರರಾದ ಹೆಟ್ಜ್ನರ್ ಮತ್ತು ಲಿನೋಡ್ ಅವರ ಬೆಂಬಲ ಸೇವೆಗೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲಾಯಿತು. ಅದೇ ಸಮಯದಲ್ಲಿ, ಲಿನೋಡ್ನಲ್ಲಿನ ಸರ್ವರ್ಗಳ ಪೋರ್ಟ್ 5222 ಗೆ ಕಳುಹಿಸಲಾದ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ರೂಟಿಂಗ್ ಮಾಡುವಾಗ ಹೆಚ್ಚುವರಿ ಪರಿವರ್ತನೆಯನ್ನು ಇಂದಿಗೂ ಗಮನಿಸಲಾಗಿದೆ, ಆದರೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಇನ್ನು ಮುಂದೆ ಬದಲಾಯಿಸಲಾಗುವುದಿಲ್ಲ.
ಎರಡೂ ಪೂರೈಕೆದಾರರ ಮೂಲಸೌಕರ್ಯಗಳನ್ನು ಹ್ಯಾಕ್ ಮಾಡಿದ ಪರಿಣಾಮವಾಗಿ ಅಥವಾ ಎರಡೂ ಪೂರೈಕೆದಾರರಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಉದ್ಯೋಗಿಯಿಂದ ಕಾನೂನು ಜಾರಿ ಏಜೆನ್ಸಿಗಳ ಕೋರಿಕೆಯ ಮೇರೆಗೆ ಪೂರೈಕೆದಾರರ ಜ್ಞಾನದೊಂದಿಗೆ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದೆಂದು ಊಹಿಸಲಾಗಿದೆ. XMPP ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ಮತ್ತು ಮಾರ್ಪಡಿಸಲು ಸಾಧ್ಯವಾಗುವ ಮೂಲಕ, ಆಕ್ರಮಣಕಾರರು ಸರ್ವರ್ನಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ಸಂದೇಶ ಇತಿಹಾಸದಂತಹ ಎಲ್ಲಾ ಖಾತೆ-ಸಂಬಂಧಿತ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು ಮತ್ತು ಇತರರ ಪರವಾಗಿ ಸಂದೇಶಗಳನ್ನು ಕಳುಹಿಸಬಹುದು ಮತ್ತು ಇತರ ಜನರ ಸಂದೇಶಗಳಿಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಬಹುದು. ಎಂಡ್-ಟು-ಎಂಡ್ ಎನ್ಕ್ರಿಪ್ಶನ್ (OMEMO, OTR ಅಥವಾ PGP) ಬಳಸಿಕೊಂಡು ಕಳುಹಿಸಲಾದ ಸಂದೇಶಗಳು ಸಂಪರ್ಕದ ಎರಡೂ ಬದಿಗಳಲ್ಲಿ ಬಳಕೆದಾರರಿಂದ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಪರಿಶೀಲಿಸಿದರೆ ರಾಜಿಯಾಗುವುದಿಲ್ಲ ಎಂದು ಪರಿಗಣಿಸಬಹುದು. Jabber.ru ಬಳಕೆದಾರರು ತಮ್ಮ ಪ್ರವೇಶ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಬದಲಾಯಿಸಲು ಮತ್ತು ಸಂಭವನೀಯ ಪರ್ಯಾಯಕ್ಕಾಗಿ ತಮ್ಮ PEP ಸಂಗ್ರಹಣೆಯಲ್ಲಿ OMEMO ಮತ್ತು PGP ಕೀಗಳನ್ನು ಪರೀಕ್ಷಿಸಲು ಸಲಹೆ ನೀಡುತ್ತಾರೆ.
ಮೂಲ: opennet.ru