De beheerder van de Jabber-server jabber.ru (xmpp.ru) heeft een aanval geïdentificeerd om gebruikersverkeer (MITM) te decoderen, uitgevoerd gedurende een periode van 90 dagen tot 6 maanden in de netwerken van de Duitse hostingproviders Hetzner en Linode, die de projectserver en aanvullende VPS-omgeving. De aanval wordt georganiseerd door verkeer om te leiden naar een transitknooppunt dat het TLS-certificaat vervangt voor XMPP-verbindingen die zijn gecodeerd met de STARTTLS-extensie.
De aanval werd opgemerkt vanwege een fout van de organisatoren, die geen tijd hadden om het TLS-certificaat dat voor de spoofing werd gebruikt, te vernieuwen. Op 16 oktober ontving de beheerder van jabber.ru, toen hij probeerde verbinding te maken met de dienst, een foutmelding vanwege het verlopen van het certificaat, maar het certificaat op de server was niet verlopen. Hierdoor bleek dat het certificaat dat de client ontving anders was dan het door de server verzonden certificaat. Het eerste valse TLS-certificaat werd op 18 april 2023 verkregen via de Let's Encrypt-service, waarbij de aanvaller, die verkeer kon onderscheppen, de toegang tot de sites jabber.ru en xmpp.ru kon bevestigen.
In eerste instantie werd aangenomen dat de projectserver was gecompromitteerd en dat er een vervanging werd uitgevoerd. Maar de audit bracht geen sporen van hacking aan het licht. Tegelijkertijd werd in de log op de server een kortdurende uit- en aanschakeling van de netwerkinterface (NIC Link is Down/NIC Link is Up) opgemerkt, die op 18 juli om 12:58 uur werd uitgevoerd en kon duiden op manipulaties met de verbinding van de server met de switch. Opmerkelijk is dat er een paar minuten eerder, op 18 juli om 12:49 en 12:38, twee valse TLS-certificaten werden gegenereerd.
Bovendien werd de vervanging niet alleen uitgevoerd in het netwerk van de Hetzner-provider, die de hoofdserver host, maar ook in het netwerk van de Linode-provider, die VPS-omgevingen hostte met hulpproxy's die verkeer van andere adressen omleiden. Indirect bleek dat verkeer naar netwerkpoort 5222 (XMPP STARTTLS) in de netwerken van beide providers via een extra host werd omgeleid, wat aanleiding gaf om aan te nemen dat de aanval werd uitgevoerd door een persoon met toegang tot de infrastructuur van de providers.
Theoretisch had de vervanging kunnen worden uitgevoerd vanaf 18 april (de datum waarop het eerste nepcertificaat voor jabber.ru werd aangemaakt), maar bevestigde gevallen van certificaatvervanging werden pas geregistreerd van 21 juli tot 19 oktober, al die tijd gecodeerde gegevensuitwisseling met jabber.ru en xmpp.ru kunnen als gecompromitteerd worden beschouwd. De vervanging stopte nadat het onderzoek was begonnen, er werden tests uitgevoerd en op 18 oktober werd een verzoek gestuurd naar de ondersteuningsdienst van providers Hetzner en Linode. Tegelijkertijd wordt er nog steeds een extra overgang waargenomen bij het routeren van pakketten die naar poort 5222 van een van de servers in Linode worden verzonden, maar het certificaat wordt niet langer vervangen.
Aangenomen wordt dat de aanval met medeweten van de aanbieders had kunnen worden uitgevoerd op verzoek van wetshandhavingsinstanties, als gevolg van het hacken van de infrastructuur van beide aanbieders, of door een medewerker die toegang had tot beide aanbieders. Door XMPP-verkeer te kunnen onderscheppen en wijzigen, kan de aanvaller toegang krijgen tot alle accountgerelateerde gegevens, zoals de berichtgeschiedenis die op de server is opgeslagen, en kan hij ook namens anderen berichten verzenden en wijzigingen aanbrengen in de berichten van anderen. Berichten die worden verzonden met behulp van end-to-end-codering (OMEMO, OTR of PGP) kunnen als niet-gecompromitteerd worden beschouwd als de coderingssleutels door gebruikers aan beide kanten van de verbinding worden geverifieerd. Jabber.ru-gebruikers wordt geadviseerd om hun toegangswachtwoorden te wijzigen en de OMEMO- en PGP-sleutels in hun PEP-opslag te controleren op mogelijke vervanging.
Bron: opennet.ru