Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,516
- Points
- 113
Новые результаты пролили свет на то, что считается законной попыткой скрытого перехвата трафика, исходящего от jabber [.] ru (он же xmpp [.]ru), службы мгновенных сообщений на основе XMPP, через серверы, размещенные в Hetzner и Linode (дочерней компании Akamai) в Германии.
"Злоумышленник выпустил несколько новых сертификатов TLS с помощью сервиса Let's Encrypt, которые использовались для взлома зашифрованных соединений STARTTLS на порту 5222 с использованием прозрачного прокси-сервера [man-in-the-middle]", - сказал ранее на этой неделе исследователь безопасности под псевдонимом ValdikSS.
"Атака была обнаружена из-за истечения срока действия одного из сертификатов MiTM, которые не были переоформлены".
Собранные на данный момент доказательства указывают на то, что перенаправление трафика настроено в сети хостинг-провайдера, что исключает другие возможности, такие как взлом сервера или подменная атака.
По оценкам, прослушивание продолжалось целых шесть месяцев, с 18 апреля по 19 октября, хотя было подтверждено, что оно имело место по крайней мере с 21 июля 2023 года и до 19 октября 2023 года.
Признаки подозрительной активности были впервые обнаружены 16 октября 2023 года, когда один из администраторов UNIX сервиса получил сообщение "Срок действия сертификата истек" при подключении к нему.
Считается, что субъект угрозы прекратил свою деятельность после того, как 18 октября 2023 года началось расследование инцидента с MiTM. Пока не ясно, кто стоит за атакой, но есть подозрение, что это был законный перехват, основанный на запросе немецкой полиции.
Другая гипотеза, хотя и маловероятная, но не невозможная, заключается в том, что MiTM-атака представляет собой вторжение во внутренние сети как Hetzner, так и Linode, в частности, jabber[.]ru.
"Учитывая характер перехвата, злоумышленники смогли выполнить любое действие так, как если бы оно выполнялось из авторизованной учетной записи, не зная пароля учетной записи", - сказал исследователь.
"Это означает, что злоумышленник мог загрузить реестр учетной записи, пожизненную незашифрованную историю сообщений на стороне сервера, отправлять новые сообщения или изменять их в режиме реального времени".
Мы обратились к Акамаи и Хетцнеру за дальнейшими комментариями, и мы обновим историю, если получим ответ.
Пользователям сервиса рекомендуется предположить, что их переписка за последние 90 дней была скомпрометирована, а также "проверить свои учетные записи на наличие новых несанкционированных ключей OMEMO и PGP в их хранилище PEP и сменить пароли".
"Злоумышленник выпустил несколько новых сертификатов TLS с помощью сервиса Let's Encrypt, которые использовались для взлома зашифрованных соединений STARTTLS на порту 5222 с использованием прозрачного прокси-сервера [man-in-the-middle]", - сказал ранее на этой неделе исследователь безопасности под псевдонимом ValdikSS.
"Атака была обнаружена из-за истечения срока действия одного из сертификатов MiTM, которые не были переоформлены".
Собранные на данный момент доказательства указывают на то, что перенаправление трафика настроено в сети хостинг-провайдера, что исключает другие возможности, такие как взлом сервера или подменная атака.
По оценкам, прослушивание продолжалось целых шесть месяцев, с 18 апреля по 19 октября, хотя было подтверждено, что оно имело место по крайней мере с 21 июля 2023 года и до 19 октября 2023 года.
Признаки подозрительной активности были впервые обнаружены 16 октября 2023 года, когда один из администраторов UNIX сервиса получил сообщение "Срок действия сертификата истек" при подключении к нему.
Считается, что субъект угрозы прекратил свою деятельность после того, как 18 октября 2023 года началось расследование инцидента с MiTM. Пока не ясно, кто стоит за атакой, но есть подозрение, что это был законный перехват, основанный на запросе немецкой полиции.
Другая гипотеза, хотя и маловероятная, но не невозможная, заключается в том, что MiTM-атака представляет собой вторжение во внутренние сети как Hetzner, так и Linode, в частности, jabber[.]ru.
"Учитывая характер перехвата, злоумышленники смогли выполнить любое действие так, как если бы оно выполнялось из авторизованной учетной записи, не зная пароля учетной записи", - сказал исследователь.
"Это означает, что злоумышленник мог загрузить реестр учетной записи, пожизненную незашифрованную историю сообщений на стороне сервера, отправлять новые сообщения или изменять их в режиме реального времени".
Мы обратились к Акамаи и Хетцнеру за дальнейшими комментариями, и мы обновим историю, если получим ответ.
Пользователям сервиса рекомендуется предположить, что их переписка за последние 90 дней была скомпрометирована, а также "проверить свои учетные записи на наличие новых несанкционированных ключей OMEMO и PGP в их хранилище PEP и сменить пароли".
