Недавно мы с коллегами случайно нашли в серверной неопознанный одноплатник Raspberry Pi — проанализировали его (не без помощи сообщества с Reddit) и даже сумели вычислить владельца вредоносной «малины». И сейчас я расскажу, как нам это удалось.

INFO

Это перевод статьи Кристиана Хашека, впервые опубликованной в его блоге. Перевела Алёна Георгиева. Все иллюстрации в статье принадлежат автору.

На прошлой неделе мой коллега прислал мне вот такое сообщение с фото.

Сообщение от моего коллеги
Сообщение от моего коллеги

Я попросил его отключить «малину», поместить в безопасное место, отфотографировать все части одноплатника и снять образ с SD-карты (поскольку сам я в основном работаю удаленно). Я часто имел дело с Raspberry Pi и был уверен, что смогу выяснить, чем занимается эта машинка.

В тот момент никто не думал, что «малина» окажется вредоносной, — скорее полагали, что кто-то из сотрудников фигней мается.

 

Части одноплатника

Наша «малина» состояла из трех частей:

  • Raspberry Pi (модель B) первого поколения;
  • таинственный электронный ключ;
  • карта SD на 16 гигов (быстрая).
Электронный ключ и SD-карта
Электронный ключ и SD-карта
 

Первое, что нужно сделать: опросить всех, кто имеет доступ к серверной

Число людей, которые имеют доступ к этому шкафу, очень невелико — ключ от серверной есть только у четырех человек:

  • руководитель;
  • завхоз;
  • мой коллега;
  • я.

Никто из нас ничего не знал о «малине», так что я спросил других коллег из IT — и озадачил их не меньше. Разумеется, я слышал, что некоторые люди за деньги размещают подобные штуки там, где им не место, — поэтому мне было очень интересно, чем же на самом деле занимается эта конкретная.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Check Also

Солнечный удар. Разбираем две опасные уязвимости в Apache Solr

Недавно исследователи нашли две крупные уязвимости в опенсорсной платформе полнотекстового…

8 комментариев

  1. Аватар

    astana

    23.09.2019 at 13:45

    Надо было подождать, пока устройство заберут — тогда бы и текущего инсайдера выявили.

    • Аватар

      Avotidjony

      23.09.2019 at 16:31

      А «брать» админ будет? Если безопасников в конторе нет, дофига народа узнает, плюс визуально будет много «нехарактерных» движений для офиса. После этого инсайдер по степени святости сможет посоперничать с папой римским, и соответственно заляжет на дно.
      ЗЫ Устройство подключено, так что далеко не факт что его вообще намерены забирать.

  2. Аватар

    antony

    23.09.2019 at 18:34

    Стандартный пример промышленного шпионажа…

  3. Аватар

    atvitek

    23.09.2019 at 21:20

    Мораль: иногда следует почаще заходить в серверную, хотя бы просто подумать о жизни мать ее. 🙂

  4. Аватар

    ArakiSatoshi

    24.09.2019 at 16:04

    Гугл достал платные статьи в ленте показывать

  5. Аватар

    Laglag

    24.09.2019 at 23:34

    Бред… Просто так к файлам доступ получили… Что за дно будет ставить без шифровки… Или что то не договаривается… Фото семьи явно не русских… Самописную ось ещё ладно… Зрен с ним открыть северную поставить… На фига вопрос… Если из неё выходят… Не хочу в эту сторону думать.

  6. Аватар

    ALEXyyy

    28.09.2019 at 10:31

    Так это же на SecLab было с год назад причём бесплатно

Оставить мнение