Nieuwe bevindingen hebben licht geworpen op wat een wettige poging zou zijn om heimelijk verkeer te onderscheppen dat afkomstig is van gebabbel[.]ru (ook bekend als xmpp[.]ru), een op XMPP gebaseerde instant messaging-dienst, via servers gehost op Hetzner en Linode (een dochteronderneming van Akamai) in Duitsland.
“De aanvaller heeft verschillende nieuwe TLS-certificaten uitgegeven met behulp van de Let’s Encrypt-service die werden gebruikt om gecodeerde STARTTLS-verbindingen op poort 5222 te kapen met behulp van transparante [man-in-the-middle] proxy”, zei een beveiligingsonderzoeker onder de alias ValdikSS eerder deze week.
“De aanval werd ontdekt vanwege het verlopen van een van de MiTM-certificaten, die niet opnieuw zijn uitgegeven.”
Het tot nu toe verzamelde bewijsmateriaal wijst erop dat de verkeersomleiding is geconfigureerd op het netwerk van de hostingprovider, waardoor andere mogelijkheden, zoals een serverinbraak of een spoofing-aanval, worden uitgesloten.
Het afluisteren heeft naar schatting zes maanden geduurd, van 18 april tot en met 19 oktober, hoewel is bevestigd dat het heeft plaatsgevonden sinds ten minste 21 juli 2023 en tot 19 oktober 2023.
Tekenen van verdachte activiteit werden voor het eerst gedetecteerd op 16 oktober 2023, toen een van de UNIX-beheerders van de service het bericht ‘Certificaat is verlopen’ ontving toen hij er verbinding mee maakte.
De bedreigingsacteur zou de activiteit hebben stopgezet nadat het onderzoek naar het MiTM-incident op 18 oktober 2023 begon. Het is niet meteen duidelijk wie er achter de aanval zit, maar er wordt vermoed dat het om een geval van legale onderschepping gaat op basis van een verzoek van de Duitse politie. .
Een andere hypothese, hoe onwaarschijnlijk maar niet onmogelijk, is dat de MiTM-aanval een inbreuk is op de interne netwerken van zowel Hetzner als Linode, waarbij met name het gebabbel wordt uitgekozen.[.]Ru.
“Gezien de aard van de onderschepping zijn de aanvallers in staat geweest elke actie uit te voeren alsof deze wordt uitgevoerd vanaf het geautoriseerde account, zonder het accountwachtwoord te kennen”, aldus de onderzoeker.
“Dit betekent dat de aanvaller de accountlijst en de levenslange niet-versleutelde berichtgeschiedenis op de server kan downloaden, nieuwe berichten kan verzenden of deze in realtime kan wijzigen.”
The Hacker News heeft contact opgenomen met Akamai en Hetzner voor verder commentaar, en we zullen het verhaal bijwerken als we iets horen.
Gebruikers van de dienst wordt aangeraden om aan te nemen dat hun communicatie van de afgelopen 90 dagen is gecompromitteerd, en “hun accounts te controleren op nieuwe ongeautoriseerde OMEMO- en PGP-sleutels in hun PEP-opslag, en wachtwoorden te wijzigen.”
