Lauschangriff auf russischen Jabber-Server in Deutschland: Wer steckt dahinter?

Inhaltsverzeichnis

Vor wenigen Wochen wurde einer der Administratoren des Chat-Servers jabber.ru stutzig: Den Aufbau einer TLS-Verbindung quittierte sein Jabber-Client mit einer Fehlermeldung, das TLS-Zertifikat sei abgelaufen. Was wie ein schnell reparierbarer Routinefehler aussah, eskalierte jedoch zu einem ausgewachsenen Sicherheitsvorfall. Das inkriminierte Zertifikat nebst Schlüssel war nämlich weder auf dem Jabber-Server selber, noch auf einem vorgeschalteten Proxy zu finden. Offenbar hatten Fremde es bei der Vergabestelle Let's Encrypt beantragt. Die betroffenen Server stehen in deutschen Rechenzentren der Betreiber Hetzner und Linode.

Netzwerkwackler oder Schnüffelattacke?

Auf der Suche nach einem Eindringling stießen die jabber.ru-Admins auf einen Protokolleintrag, der weitere Fragen aufwarf. So war am Mittag des 18. Juli der Netzwerkanschluss des Hetzner-Servers für 19 Sekunden ausgefallen – ein Wackler, der offenbar an jenem Tag niemandem aufgefallen war. Weitere Recherchen ergaben zudem, dass eines der auffälligen Zertifikate nur neun Minuten vor dem Netzwerkausfall durch Let's Encrypt ausgestellt wurde.

Die Hinweise verdichteten sich zu der Annahme, dass jabber.ru einem Lauschangriff ausgesetzt war. Die unbekannten Angreifer hatten offenbar zwischen das Internet und die Chat-Server ein Gerät geschaltet, das die TLS-Verbindung abfangen und den so entschlüsselten Datenverkehr ausleiten konnte. Derlei Angriffe werden in der Regel als "Man in the Middle", abgekürzt MitM, bezeichnet. Die Betreiber gehen davon aus, dass sämtliche Gespräche zwischen dem 21. Juli und dem 19. Oktober 2023 in fremde Hände gelangt sind. Hinweise auf eine Kompromittierung der Server selbst entdeckten sie jedoch nicht.

Staatlich angeordneter Lauschangriff?

Die Frage nach dem oder den Verantwortlichen für die Abhöraktion können die Russen nicht sicher beantworten. Sie vermuten, dass es sich um sogenannte "Lawful Interception", also eine rechtsstaatlich angeordnete und durch Strafverfolgungsbehörden oder Geheimdienste durchgeführte Maßnahme handele. Dafür spricht die mutmaßliche Einbindung der beteiligten Hoster und die Professionalität des Angriffs – blieb dieser doch monatelang unentdeckt. Der russische Jabber-Server wird unter anderem auch im russischen Cybercrime-Umfeld gerne genutzt, was diese Theorie durchaus plausibel erscheinen lässt.

Ironisch: Das durch Let's Encrypt populär gemachte ACME-Verfahren zur Zertifikatsausstellung läuft vollautomatisch ab. Hätten die Angreifer diese Funktion korrekt in ihren Spähserver eingebaut, hätten sie noch länger mithören können – ein MitM-Zertifikat mit einer Laufzeit bis Januar 2024 hatten sie bereits bestellt.

Ende-zu-Ende-Verschlüsselung

Solche Abhöraktionen brechen die Transportverschlüsselung zwischen Client und Server auf (TLS); echte Ende-zu-Ende-Verschlüsselung ist davon nicht betroffen, sofern beide Seiten des Chats die richtigen Schlüssel verwenden. Das Jabber-Protokoll XMPP sieht das nicht vor; aber es gibt dafür Erweiterungen wie OMEMO, PGP oder OTR, die natürlich dann beide Chat-Partner benötigen. Deren Nutzern empfehlen die Server-Betreiber, jetzt ihre Schlüssel zu überprüfen. Zudem hätte eine aktuellere Version des verwendeten XMPP-Servers ejabberd vermutlich Alarm geschlagen: Wie einer der Entdecker des Lauschangriffs auf dem Kurznachrichtendienst X schreibt, unterstützen aktuelle Versionen das Verfahren SCRAM Plus, das die Attacke aufgedeckt hätte.

Die staatliche Kontrolle über digitale Kommunikation ist Gegenstand hitziger Debatten. Die EU-Kommission möchte Betreiber von Chatdiensten per behördlicher Anordnung verpflichten, Nachrichten vorsorglich nach missbräuchlichen Inhalten zu durchkämmen. Der Entwurf stieß auf breiten Widerstand. Die betroffenen Konzerne, aber auch Netzaktivisten, Datenschützer, Bürgerrechtler, Rechtsexperten und sogar der Bundesrat haben massive Bedenken.

(cku)