Jabber సర్వర్ jabber.ru (xmpp.ru) నిర్వాహకుడు యూజర్ ట్రాఫిక్ (MITM)ని డీక్రిప్ట్ చేయడానికి దాడిని గుర్తించారు, ఇది 90 రోజుల నుండి 6 నెలల వరకు జర్మన్ హోస్టింగ్ ప్రొవైడర్లు హెట్జ్నర్ మరియు లినోడ్ నెట్వర్క్లలో నిర్వహించబడింది. ప్రాజెక్ట్ సర్వర్ మరియు సహాయక VPS. పర్యావరణం. STARTTLS పొడిగింపును ఉపయోగించి గుప్తీకరించిన XMPP కనెక్షన్ల కోసం TLS ప్రమాణపత్రాన్ని భర్తీ చేసే ట్రాన్సిట్ నోడ్కి ట్రాఫిక్ను దారి మళ్లించడం ద్వారా దాడి నిర్వహించబడుతుంది.
స్పూఫింగ్ కోసం ఉపయోగించిన TLS సర్టిఫికేట్ను పునరుద్ధరించడానికి సమయం లేని దాని నిర్వాహకులు చేసిన లోపం కారణంగా దాడిని గమనించారు. అక్టోబర్ 16న, jabber.ru అడ్మినిస్ట్రేటర్, సేవకు కనెక్ట్ చేయడానికి ప్రయత్నిస్తున్నప్పుడు, సర్టిఫికేట్ గడువు ముగిసినందున దోష సందేశం వచ్చింది, కానీ సర్వర్లో ఉన్న ప్రమాణపత్రం గడువు ముగియలేదు. ఫలితంగా, క్లయింట్ అందుకున్న సర్టిఫికేట్ మరియు సర్వర్ పంపిన సర్టిఫికేట్ భిన్నంగా ఉన్నట్లు తేలింది. మొదటి నకిలీ TLS సర్టిఫికేట్ ఏప్రిల్ 18, 2023న లెట్స్ ఎన్క్రిప్ట్ సేవ ద్వారా పొందబడింది, దీనిలో దాడి చేసే వ్యక్తి ట్రాఫిక్ను అడ్డగించడం ద్వారా jabber.ru మరియు xmpp.ru సైట్లకు ప్రాప్యతను నిర్ధారించగలిగారు.
మొదట, ప్రాజెక్ట్ సర్వర్ రాజీపడిందని మరియు దాని వైపు ప్రత్యామ్నాయం జరుగుతోందని ఒక అంచనా ఉంది. కానీ ఆడిట్లో హ్యాకింగ్కు సంబంధించిన ఎలాంటి జాడలు బయటికి రాలేదు. అదే సమయంలో, సర్వర్లోని లాగ్లో, నెట్వర్క్ ఇంటర్ఫేస్ స్వల్పకాలిక స్విచ్ ఆఫ్ మరియు ఆన్ (NIC లింక్ డౌన్/NIC లింక్ ఉంది) గమనించబడింది, ఇది జూలై 18న 12:58కి ప్రదర్శించబడింది మరియు చేయగలదు స్విచ్కు సర్వర్ యొక్క కనెక్షన్తో అవకతవకలను సూచించండి. రెండు నకిలీ TLS సర్టిఫికెట్లు కొన్ని నిమిషాల ముందు రూపొందించబడ్డాయి - జూలై 18న 12:49 మరియు 12:38కి.
అదనంగా, ప్రత్యామ్నాయం ప్రధాన సర్వర్ను హోస్ట్ చేసే హెట్జ్నర్ ప్రొవైడర్ నెట్వర్క్లో మాత్రమే కాకుండా, ఇతర చిరునామాల నుండి ట్రాఫిక్ను దారి మళ్లించే సహాయక ప్రాక్సీలతో VPS పరిసరాలను హోస్ట్ చేసే లినోడ్ ప్రొవైడర్ నెట్వర్క్లో కూడా నిర్వహించబడింది. పరోక్షంగా, రెండు ప్రొవైడర్ల నెట్వర్క్లలోని నెట్వర్క్ పోర్ట్ 5222 (XMPP STARTTLS)కి ట్రాఫిక్ అదనపు హోస్ట్ ద్వారా దారి మళ్లించబడిందని కనుగొనబడింది, ఇది ప్రొవైడర్ల అవస్థాపనకు ప్రాప్యత ఉన్న వ్యక్తి ద్వారా దాడి జరిగిందని నమ్మడానికి కారణం.
సిద్ధాంతపరంగా, ప్రత్యామ్నాయం ఏప్రిల్ 18 (jabber.ru కోసం మొదటి నకిలీ సర్టిఫికేట్ సృష్టించిన తేదీ) నుండి నిర్వహించబడవచ్చు, అయితే ధృవీకరించబడిన సర్టిఫికేట్ ప్రత్యామ్నాయం కేసులు జూలై 21 నుండి అక్టోబర్ 19 వరకు మాత్రమే నమోదు చేయబడ్డాయి, ఈ సమయంలో గుప్తీకరించిన డేటా మార్పిడి. jabber.ru మరియు xmpp.ruతో రాజీపడినట్లు పరిగణించవచ్చు. విచారణ ప్రారంభించిన తర్వాత ప్రత్యామ్నాయం ఆగిపోయింది, పరీక్షలు నిర్వహించబడ్డాయి మరియు అక్టోబర్ 18న ప్రొవైడర్లు హెట్జ్నర్ మరియు లినోడ్ యొక్క మద్దతు సేవకు అభ్యర్థన పంపబడింది. అదే సమయంలో, లినోడ్లోని సర్వర్లలో ఒకదాని యొక్క పోర్ట్ 5222కి పంపబడిన ప్యాకెట్లను రౌటింగ్ చేస్తున్నప్పుడు అదనపు పరివర్తన ఇప్పటికీ గమనించబడుతుంది, అయితే సర్టిఫికేట్ ఇకపై భర్తీ చేయబడదు.
రెండు ప్రొవైడర్ల మౌలిక సదుపాయాలను హ్యాక్ చేయడం వల్ల లేదా ప్రొవైడర్లిద్దరికీ యాక్సెస్ ఉన్న ఉద్యోగి ఫలితంగా, చట్ట అమలు సంస్థల అభ్యర్థన మేరకు ప్రొవైడర్ల జ్ఞానంతో దాడి జరిగి ఉంటుందని భావించబడుతుంది. XMPP ట్రాఫిక్ను అడ్డగించడం మరియు సవరించడం ద్వారా, దాడి చేసే వ్యక్తి సర్వర్లో నిల్వ చేయబడిన సందేశ చరిత్ర వంటి అన్ని ఖాతా-సంబంధిత డేటాకు ప్రాప్యతను పొందగలడు మరియు ఇతరుల తరపున సందేశాలను పంపవచ్చు మరియు ఇతరుల సందేశాలలో మార్పులు చేయవచ్చు. ఎండ్-టు-ఎండ్ ఎన్క్రిప్షన్ (OMEMO, OTR లేదా PGP) ఉపయోగించి పంపబడిన సందేశాలు కనెక్షన్కి రెండు వైపులా ఉన్న వినియోగదారులు ఎన్క్రిప్షన్ కీలను ధృవీకరించినట్లయితే, రాజీ పడలేదని పరిగణించవచ్చు. Jabber.ru వినియోగదారులు వారి యాక్సెస్ పాస్వర్డ్లను మార్చుకోవాలని మరియు సాధ్యమైన ప్రత్యామ్నాయం కోసం వారి PEP స్టోరేజ్లలో OMEMO మరియు PGP కీలను తనిఖీ చేయాలని సూచించారు.
మూలం: opennet.ru