Nuevos hallazgos han arrojado luz sobre lo que se dice que es un intento legal de interceptar de forma encubierta el tráfico procedente de jabber.[.]ru (también conocido como xmpp[.]ru), un XMPP-Servicio de mensajería instantánea basado en servidores alojados en Hetzner y Linode (una filial de Akamai) en Alemania.
«El atacante ha emitido varios certificados TLS nuevos utilizando el servicio Let’s Encrypt que se utilizaron para secuestrar archivos cifrados. Conexiones STARTTLS en el puerto 5222 usando transparente [man-in-the-middle] proxy», un investigador de seguridad que se hace llamar ValdikSS dicho a principios de esta semana.
«El ataque se descubrió debido a la caducidad de uno de los certificados MiTM, que no ha sido reexpedido».
Las pruebas reunidas hasta el momento apuntan a que la redirección del tráfico se está configurando en la red del proveedor de alojamiento, lo que descarta otras posibilidades, como una vulneración del servidor o un ataque de suplantación de identidad.
Se estima que las escuchas telefónicas duraron hasta seis meses, desde el 18 de abril hasta el 19 de octubre, aunque se ha confirmado que tuvieron lugar desde al menos el 21 de julio de 2023 y hasta el 19 de octubre de 2023.
Los signos de actividad sospechosa se detectaron por primera vez el 16 de octubre de 2023, cuando uno de los administradores UNIX del servicio recibió un mensaje de «Certificado caducado» al conectarse.
Se cree que el actor de amenazas detuvo la actividad después de que comenzara la investigación sobre el incidente de MiTM el 18 de octubre de 2023. No está claro de inmediato quién está detrás del ataque, pero se sospecha que se trata de un caso de interceptación legal basado en una solicitud de la policía alemana. .
Otra hipótesis, aunque improbable pero no imposible, es que el ataque MiTM es una intrusión en las redes internas de Hetzner y Linode, específicamente señalando a Jabber.[.]ru.
«Dada la naturaleza de la interceptación, los atacantes han podido ejecutar cualquier acción como si se ejecutara desde la cuenta autorizada, sin conocer la contraseña de la cuenta», dijo el investigador.
«Esto significa que el atacante podría descargar la lista de la cuenta, el historial de mensajes del lado del servidor sin cifrar de por vida, enviar mensajes nuevos o modificarlos en tiempo real».
The Hacker News se ha puesto en contacto con Akamai y Hetzner para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.
Los usuarios del servicio son recomendado para asumir que sus comunicaciones durante los últimos 90 días están comprometidas, así como «revisar sus cuentas en busca de nuevas claves OMEMO y PGP no autorizadas en su almacenamiento PEP, y cambiar contraseñas».