Yeni bulgular, gevezelikten kaynaklanan trafiği gizlice engellemeye yönelik yasal bir girişim olduğu söylenen şeye ışık tuttu[.]ru (diğer adıyla xmpp[.]ru), bir XMPPAlmanya’da Hetzner ve Linode (Akamai’nin bir yan kuruluşu) üzerinde barındırılan sunucular aracılığıyla tabanlı anlık mesajlaşma hizmeti.
“Saldırgan, Let’s Encrypt hizmetini kullanarak şifrelenmiş bilgileri ele geçirmek için kullanılan birkaç yeni TLS sertifikası yayınladı STARTTLS bağlantıları şeffaf kullanarak 5222 numaralı bağlantı noktasında [man-in-the-middle] proxy”, ValdikSS takma adını kullanan bir güvenlik araştırmacısı söz konusu bu haftanın başlarında.
“Saldırı, yeniden yayınlanmayan MiTM sertifikalarından birinin süresinin dolması nedeniyle keşfedildi.”
Şu ana kadar toplanan kanıtlar, barındırma sağlayıcısı ağında trafik yeniden yönlendirmesinin yapılandırıldığına işaret ediyor ve sunucu ihlali veya sahtekarlık saldırısı gibi diğer olasılıkları dışlıyor.
Telefon dinlemenin 18 Nisan’dan 19 Ekim’e kadar altı ay kadar sürdüğü tahmin ediliyor, ancak en az 21 Temmuz 2023’ten bu yana ve 19 Ekim 2023’e kadar gerçekleştiği doğrulandı.
Şüpheli etkinlik belirtileri ilk olarak 16 Ekim 2023’te, hizmetin UNIX yöneticilerinden birinin hizmete bağlandıktan sonra “Sertifikanın süresi doldu” mesajını almasıyla tespit edildi.
MiTM olayıyla ilgili soruşturmanın 18 Ekim 2023’te başlamasının ardından tehdit aktörünün faaliyetini durdurduğuna inanılıyor. Saldırının arkasında kimin olduğu henüz belli değil ancak bunun Alman polisinin talebi üzerine yasal bir müdahale olduğundan şüpheleniliyor. .
Her ne kadar olası olmasa da imkansız olmayan bir diğer hipotez ise, MiTM saldırısının hem Hetzner hem de Linode’un iç ağlarına bir saldırı olduğu ve özellikle gevezelikleri öne çıkardığıdır.[.]ru.
Araştırmacı, “Müdahalenin niteliği göz önüne alındığında, saldırganlar, hesap şifresini bilmeden, sanki yetkili hesaptan yapılıyormuş gibi herhangi bir eylemi gerçekleştirebildiler” dedi.
“Bu, saldırganın hesabın listesini, ömür boyu şifrelenmemiş sunucu tarafı mesaj geçmişini indirebileceği, yeni mesajlar gönderebileceği veya bunları gerçek zamanlı olarak değiştirebileceği anlamına geliyor.”
Hacker News, daha fazla yorum almak için Akamai ve Hetzner’a ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.
Hizmetin kullanıcıları tavsiye edilen son 90 gün içindeki iletişimlerinin tehlikeye girdiğini varsaymanın yanı sıra “hesaplarını PEP depolarında yeni yetkisiz OMEMO ve PGP anahtarları açısından kontrol edin ve şifreleri değiştirin.”