Зашифрованный трафик Jabber перехватывали в сетях провайдеров Hetzner и Linode

От трех до шести месяцев длился перехват зашифрованного трафика Jabber-сервера jabber.ru (xmpp.ru) через немецких провайдеров Hetzner и Linode. В сетях, где перехватывали трафик, размещены сервера проекта и вспомогательные VPS-окружения.

Атаку обнаружили случайно, поскольку ее организаторы не продлили используемый для подмены TLS-сертификат. В результате администратор jabber.ru увидел предупреждение о прекращении действия сертификата, хотя размещенный на сайте TLS в тот момент еще был актуален.

Выяснилось, что подменный сертификат, как и оригинальный, был получен в Let’s Encrypt. Для их оформления использовались разные учетные записи сервиса. Подменный сертификат оформили 18 апреля 2023 года.

Следов компрометации сервера проекта не обнаружили. Однако 18 июля текущего года было зафиксировано кратковременное выключение и включение сетевого интерфейса (NIC Link is Down/NIC Link is Up), что может являться признаком манипуляций с подключением сервера к коммутатору.