Потрошим шпионскую «малину». Как я нашел неизвестную Raspberry Pi в серверной и установил владельца

Недавно мы с коллегами случайно нашли в серверной неопознанный одноплатник Raspberry Pi — проанализировали его (не без помощи сообщества с Reddit) и даже сумели вычислить владельца вредоносной «малины». И сейчас я расскажу, как нам это удалось.

INFO

Это перевод статьи Кристиана Хашека, впервые опубликованной в его блоге. Перевела Алёна Георгиева. Все иллюстрации в статье принадлежат автору.

На прошлой неделе мой коллега прислал мне вот такое сообщение с фото.

Сообщение от моего коллеги

Я попросил его отключить «малину», поместить в безопасное место, отфотографировать все части одноплатника и снять образ с SD-карты (поскольку сам я в основном работаю удаленно). Я часто имел дело с Raspberry Pi и был уверен, что смогу выяснить, чем занимается эта машинка.

В тот момент никто не думал, что «малина» окажется вредоносной, — скорее полагали, что кто-то из сотрудников фигней мается.

Части одноплатника

Наша «малина» состояла из трех частей:

  • Raspberry Pi (модель B) первого поколения;
  • таинственный электронный ключ;
  • карта SD на 16 гигов (быстрая).
Электронный ключ и SD-карта

Первое, что нужно сделать: опросить всех, кто имеет доступ к серверной

Число людей, которые имеют доступ к этому шкафу, очень невелико — ключ от серверной есть только у четырех человек:

  • руководитель;
  • завхоз;
  • мой коллега;
  • я.

Никто из нас ничего не знал о «малине», так что я спросил других коллег из IT — и озадачил их не меньше. Разумеется, я слышал, что некоторые люди за деньги размещают подобные штуки там, где им не место, — поэтому мне было очень интересно, чем же на самом деле занимается эта конкретная.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Комментарии (8)

  • Так это же на SecLab было с год назад причём бесплатно

  • Бред... Просто так к файлам доступ получили... Что за дно будет ставить без шифровки... Или что то не договаривается... Фото семьи явно не русских... Самописную ось ещё ладно... Зрен с ним открыть северную поставить... На фига вопрос... Если из неё выходят... Не хочу в эту сторону думать.

  • Гугл достал платные статьи в ленте показывать

  • Мораль: иногда следует почаще заходить в серверную, хотя бы просто подумать о жизни мать ее. :)

  • Стандартный пример промышленного шпионажа...

  • Надо было подождать, пока устройство заберут - тогда бы и текущего инсайдера выявили.

    • А "брать" админ будет? Если безопасников в конторе нет, дофига народа узнает, плюс визуально будет много "нехарактерных" движений для офиса. После этого инсайдер по степени святости сможет посоперничать с папой римским, и соответственно заляжет на дно.
      ЗЫ Устройство подключено, так что далеко не факт что его вообще намерены забирать.