Nuove scoperte hanno messo in luce su ciò che sembrerebbe essere un tentativo legale di intercettare in modo occulto il traffico proveniente da jabber[.]ru (noto anche xmpp[.]ru), un servizio di messaggistica istantanea basato su XMPP, tramite server ospitati su Hetzner e Linode (una controllata di Akamai) in Germania.
Com’è avvenuta l’intercettazione dei messaggi basati su protocollo XMPP
“L’attaccante ha emesso diversi nuovi certificati TLS utilizzando il servizio Let’s Encrypt, che sono stati utilizzati per dirottare connessioni STARTTLS crittografate sulla porta 5222 tramite un proxy aperto [man-in-the-middle]“, ha dichiarato questa settimana un ricercatore di sicurezza noto con lo pseudonimo ValdikSS. “L‘attacco è stato scoperto a causa della scadenza di uno dei certificati MiTM, che non è stato rinnovato.”
Le prove raccolte finora indicano che la reindirizzazione del traffico di rete è stata configurata sulla rete del provider di hosting, escludendo altre possibilità, come una violazione del server o un attacco di spoofing.
Si stima che l’intercettazione abbia avuto luogo per un periodo di almeno sei mesi, approssimativamente dal 18 aprile al 19 ottobre, anche se è stato confermato che si è verificata almeno dal 21 luglio 2023 fino al 19 ottobre 2023.
I segni di attività sospetta sono stati rilevati per la prima volta il 16 ottobre 2023, quando uno degli amministratori UNIX del servizio ha ricevuto un messaggio “Certificato scaduto” al momento della connessione.
Si ritiene che l’hacker che abbia interrotto l’attività dopo l’inizio dell’indagine sull’incidente del MiTM sull’applicazione con protocllo XMPP il 18 ottobre 2023; tuttavia non è chiaro chi sia dietro l’attacco, ma si sospetta che si tratti di un caso di intercettazione legale basata su una richiesta della polizia tedesca.
Va segnalato, tuttavia, che una delle caratteristiche distintive di XMPP è la sua natura decentralizzata, che significa che non è controllato da un singolo fornitore o entità centrale; gli utenti possono comunicare attraverso server XMPP, che possono appartenere a diverse organizzazioni, ma possono ancora comunicare tra loro e questo aspetto decentralizzato è uno dei motivi per cui XMPP è stato utilizzato in molti servizi di messaggistica istantanea e chat online.
Un’altra ipotesi, sebbene improbabile ma non impossibile, è che l’attacco MiTM sia un’intrusione nelle reti interne di Hetzner e Linode, prendendo di mira specificamente jabber[.]ru.
“Dato il tipo di intercettazione, gli attaccanti sono stati in grado di eseguire qualsiasi azione come se fosse eseguita dall’account autorizzato, senza conoscere la password dell’account“, ha dichiarato il ricercatore. “Questo significa che l’attaccante poteva scaricare l’elenco dei contatti dell’account, la cronologia dei messaggi server-side non crittografati, inviare nuovi messaggi o modificarli in tempo reale.”
Si consiglia agli utenti del servizio di presumere che le loro comunicazioni degli ultimi 90 giorni siano state compromesse, nonché di “verificare i loro account alla ricerca di nuove chiavi OMEMO e PGP non autorizzate nella loro memoria PEP e di cambiare le password“.
Conclusione
Questo caso di intercettazione di comunicazioni su jabber[.]ru solleva serie preoccupazioni sulla sicurezza e la privacy online, pertanto la scoperta di un attacco MiTM protratto per mesi pone l’accento sull’importanza di costanti verifiche della sicurezza dei servizi di messaggistica.
La possibilità che questo possa essere un’azione legale di uno stato (Germania in questo caso) solleva questioni sul bilanciamento tra la sicurezza e la privacy; gli utenti dovrebbero essere vigili, esaminare attentamente le proprie comunicazioni recenti e prendere misure per rafforzare la protezione dei loro account online e la vicenda, pertanto, sottolinea la necessità di costante attenzione alla sicurezza informatica e alla tutela della privacy.
