Пока в Великобритании обсуждают законопроект по тотальному контролю электронных коммуникаций, в Германии молча читают переписку, по крайней мере - в Jabber.
Случайным образом админам платформы удалось заметить MiTM- (notes.valdikss.org.ru/jabber.ru-mitm/?utm_source=grugq&utm_medium=email&utm_campaign=october-21-2023) атаку (notes.valdikss.org.ru/jabber.ru-mitm/?utm_source=grugq&utm_medium=email&utm_campaign=october-21-2023), (https://notes.valdikss.org.ru/jabber.ru-mitm/?utm_source=grugq&utm_medium=email&utm_campaign=october-21-2023) нацеленную на перехват зашифрованного трафика TLS, проходящего через серверы Hetzner и Linode.
Как стало известно в ходе предварительного расследования инцидента, активный перехват длился три месяца с 18 июля по 18 октября и был обнаружен после того, когда истек срок действия одного из сертификатов злоумышленников.
Злоумышленнику удалось выдать несколько SSL/TLS-сертификатов через Let's Encrypt для доменов jabber.ru и xmpp.ru с 18 апреля 2023 года.
Однако перевыпустить TLS-сертификат не удалось, и прокси-сервер MiTM начал обслуживать просроченный сертификат на порту 5222 для домена jabber.ru (Hetzner).
Атака на XMPP-трафик клиента jabber.ru/xmpp.ru подтверждена как минимум с 21 июля 2023 г. по 19 октября 2023 г., возможно (достоверно не подтверждено) с 18 апреля 2023 г., затронуто 100% подключений XMPP STARTTLS к порту 5222 (не 5223).
Учитывая характер перехвата, злоумышленник смог бы выполнить любые действия на стороне пользователя в качестве авторизованной учетной записи, а это означает, что злоумышленник мог загрузить список учетных записей, незашифрованную историю сообщений на стороне сервера, отправлять новые сообщения или изменять их в режиме реального времени.
Коммуникации со сквозным шифрованием OMEMO, OTR или PGP, были защищены от перехвата только в том случае, если обе стороны подтвердили ключи шифрования.
Примечательно, что атака прекратилась вскоре после того, как было начато расследование и стали проводиться сетевые тесты вместе с тикетами в службу поддержки Hetzner и Linode. Также как выяснили исследователи, ни один из серверов платформы не взломан.
Поскольку сеть Hetzner и Linode, судя по всему, была переконфигурирована специально для такого рода атак на IP-адреса службы XMPP, команда Jabber.ru полагает, что перехват был организован спланированной операцией немецких спецслужб.
https://t.me/true_secator/4997
