Yeni bulgular, gevezelikten kaynaklanan trafiği gizlice engellemeye yönelik yasal bir girişim olduğu söylenen şeye ışık tuttu[.]ru (diğer adıyla xmpp[.]ru), Almanya’daki Hetzner ve Linode (Akamai’nin bir yan kuruluşu) üzerinde barındırılan sunucular aracılığıyla XMPP tabanlı bir anlık mesajlaşma hizmetidir.
“Saldırgan, Let’s Encrypt hizmetini kullanarak birkaç yeni TLS sertifikası yayınladı ve bu sertifikalar, şeffaf ağ kullanarak 5222 numaralı bağlantı noktasındaki şifrelenmiş STARTTLS bağlantılarını ele geçirmek için kullanıldı. [man-in-the-middle] ValdikSS takma adını kullanan bir güvenlik araştırmacısı, bu hafta başında “proxy” dedi.
“Saldırı, yeniden yayınlanmayan MiTM sertifikalarından birinin süresinin dolması nedeniyle keşfedildi.”
Şu ana kadar toplanan kanıtlar, barındırma sağlayıcısı ağında trafik yeniden yönlendirmesinin yapılandırıldığına işaret ediyor ve sunucu ihlali veya sahtekarlık saldırısı gibi diğer olasılıkları dışlıyor.
Telefon dinlemenin 18 Nisan’dan 19 Ekim’e kadar altı ay kadar sürdüğü tahmin ediliyor, ancak en az 21 Temmuz 2023’ten bu yana ve 19 Ekim 2023’e kadar gerçekleştiği doğrulandı.
Şüpheli etkinlik belirtileri ilk olarak 16 Ekim 2023’te, hizmetin UNIX yöneticilerinden birinin hizmete bağlandıktan sonra “Sertifikanın süresi doldu” mesajını almasıyla tespit edildi.
MiTM olayıyla ilgili soruşturmanın 18 Ekim 2023’te başlamasının ardından tehdit aktörünün faaliyetini durdurduğuna inanılıyor. Saldırının arkasında kimin olduğu henüz belli değil ancak bunun Alman polisinin talebi üzerine yasal bir müdahale olduğundan şüpheleniliyor. .
Her ne kadar olası olmasa da imkansız olmayan bir diğer hipotez ise, MiTM saldırısının hem Hetzner hem de Linode’un iç ağlarına bir saldırı olduğu ve özellikle gevezelikleri öne çıkardığıdır.[.]ru.
Araştırmacı, “Müdahalenin niteliği göz önüne alındığında, saldırganlar, hesap şifresini bilmeden, sanki yetkili hesaptan yapılıyormuş gibi herhangi bir eylemi gerçekleştirebildiler” dedi.
“Bu, saldırganın hesabın listesini, ömür boyu şifrelenmemiş sunucu tarafı mesaj geçmişini indirebileceği, yeni mesajlar gönderebileceği veya bunları gerçek zamanlı olarak değiştirebileceği anlamına geliyor.”
Hacker News, daha fazla yorum almak için Akamai ve Hetzner’a ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.
Hizmet kullanıcılarının son 90 gün içindeki iletişimlerinin tehlikeye girdiğini varsaymaları ve “hesaplarını PEP depolarında yeni yetkisiz OMEMO ve PGP anahtarları olup olmadığını kontrol etmeleri ve şifrelerini değiştirmeleri” tavsiye ediliyor.