Pesquisadores Revelam Interceptação de Serviço de Mensagem Instantânea Baseado em XMPP
30 de Outubro de 2023

Novas descobertas jogaram luz sobre o que se acredita ser uma tentativa legal de interceptar secretamente o tráfego originário do jabber[.]ru (também conhecido como xmpp[.]ru), um serviço de mensagens instantâneas baseado em XMPP, através de servidores hospedados na Hetzner e Linode (uma subsidiária da Akamai) na Alemanha.

"O invasor emitiu vários novos certificados TLS usando o serviço Let's Encrypt, que foram utilizados para direcionar conexões criptografadas STARTTLS na porta 5222 usando um proxy transparente [man-in-the-middle]", disse um pesquisador de segurança conhecido pelo pseudônimo ValdikSS no início desta semana.

"O ataque foi descoberto devido à expiração de um dos certificados MiTM, que não foram renovados."

As evidências coletadas até agora apontam para a configuração do redirecionamento de tráfego na rede do provedor de hospedagem, excluindo outras possibilidades, como uma violação de servidor ou um ataque de spoofing.

Estima-se que a interceptação tenha durado até seis meses, de 18 de abril a 19 de outubro, embora tenha sido confirmado que ocorreu pelo menos desde 21 de julho de 2023 e até 19 de outubro de 2023.

Sinais de atividades suspeitas foram detectados pela primeira vez em 16 de outubro de 2023, quando um dos administradores UNIX do serviço recebeu uma mensagem "Certificado expirou" ao se conectar a ele.

Acredita-se que o autor da ameaça tenha interrompido a atividade após o início da investigação do incidente MiTM em 18 de outubro de 2023.

Ainda não está claro quem está por trás do ataque, mas suspeita-se que seja um caso de interceptação legal baseado em um pedido da polícia alemã.

Outra hipótese, embora improvável, mas não impossível, é que o ataque MiTM seja uma intrusão nas redes internas da Hetzner e da Linode, visando especificamente o jabber[.]ru.

"Dada a natureza da interceptação, os invasores foram capazes de executar qualquer ação como se fosse executada a partir da conta autorizada, sem conhecer a senha da conta", disse o pesquisador.

"Isso significa que o invasor poderia baixar a lista de contatos da conta, o histórico de mensagens do servidor não criptografadas durante toda a vida, enviar novas mensagens ou alterá-las em tempo real."

O Hacker News entrou em contato com a Akamai e a Hetzner para mais comentários, e atualizaremos a notícia se recebermos uma resposta.

Os usuários do serviço são aconselhados a assumir que suas comunicações nos últimos 90 dias estão comprometidas, bem como "verificar suas contas para novas chaves OMEMO e PGP não autorizadas em seu armazenamento PEP, e alterar senhas."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...