Researchers Uncover Wiretapping of XMPP-Based Instant Messaging Service
2023/10/28 TheHackerNews — XMPP ベースの IM サービスである jabber[.]ru (別名 xmpp[.]ru) から発信されたトラフィックを、ドイツの Hetzner および Akamai の子会社である Linode にホストされているサーバを経由して密かに傍受する、合法的な試みであるとされる新たな行為が明らかになった。
今週に ValdikSS という名で活動している研究者が、「この攻撃者は、Let’s Encrypt サービスを使用して、いくつかの新たな TLS 証明書を発行した。そこでは、透過的な [中間者] プロキシが用いられ、ポート 5222 上で暗号化された STARTTLS 接続をハイジャックするために使用された。この攻撃が発見されたのは、有効期限が切れた MiTM 証明書の再発行が失敗しことによる」と述べている。
これまでに収集された証拠が示すのは、トラフィックのリダイレクトがホスティング・プロバイダーのネットワーク上で設定されたことであり、なりすましやサーバ侵入の可能性は除外されている。
この盗聴は、2023年4月18日〜10月19日の6ヶ月間にわたり続いたと推定されているが、確認されたのは、7月21日〜10月19日となる。不審な活動の兆候が検出されたのは 2023年10月16日であり、このサービスの UNIX 管理者が “Certificate has expired” というメッセージを受け取ったときである。
この MiTM インシデントに関する調査が 2023年10月18日に開始された後に、この脅威アクターは活動を停止したと考えられている。この攻撃を操る者は明らかになっていないが、ドイツ警察の要請に基づく合法的な傍受のケースではないかとも疑われている。
もう1つの仮説は、可能性は低いが不可能ではないというものだ。この MiTM 攻撃 は、HetznerとLinodeの両方の内部ネットワークへの侵入であり、特に jabber[.]ru が疑われるという。
前述の ValdikSS は、「傍受の性質を考えると、攻撃者はアカウントのパスワードを知らなくても、あたかも認証されたアカウントから実行されたかのように、あらゆるアクションを実行できた。具体的に言うと、アカウント名簿のダウンロード/サーバ側の平文メッセージ履歴の存続/新たなメッセージの送信/リアルタイムのメッセージ改ざんなどのアクションである」と指摘している。
The Hacker News は、Akamai および Hetzner にコメントを求めており、新たな情報が得られたらアップデートするつもりだ。
Hetzner/Linode サービスの利用者は、過去 90 日間の通信が侵害されたと仮定すべきだ。そして、アカウント内の PEP ストレージに、未承認の OMEMO/PGP キーが新たに追加されていないか確認し、パスワードを変更すべきだ。
ホスティング・プロバイダーである Hetzner/Linode サービス上で、トラフィックのリダイレクトが設定されたということなのでしょう。狙われたトラフィックは、XMPP ベースの IM サービスである、jabber[.]ru (別名 xmpp[.]ru) から発信されたものとのことです。インシデントの性質からして、APT が関与していると思われますが、はっきりしない状況のようです。
IoT OT Security News 
You must be logged in to post a comment.