Потрошим шпионскую «малину». Как я нашел неизвестную Raspberry Pi в серверной и установил владельца

Недавно мы с коллегами случайно нашли в серверной неопознанный одноплатник Raspberry Pi — проанализировали его (не без помощи сообщества с Reddit) и даже сумели вычислить владельца вредоносной «малины». И сейчас я расскажу, как нам это удалось.

INFO

Это перевод статьи Кристиана Хашека, впервые опубликованной в его блоге. Перевела Алёна Георгиева. Все иллюстрации в статье принадлежат автору.

На прошлой неделе мой коллега прислал мне вот такое сообщение с фото.

Сообщение от моего коллеги

Я попросил его отключить «малину», поместить в безопасное место, отфотографировать все части одноплатника и снять образ с SD-карты (поскольку сам я в основном работаю удаленно). Я часто имел дело с Raspberry Pi и был уверен, что смогу выяснить, чем занимается эта машинка.

В тот момент никто не думал, что «малина» окажется вредоносной, — скорее полагали, что кто-то из сотрудников фигней мается.

Части одноплатника

Наша «малина» состояла из трех частей:

  • Raspberry Pi (модель B) первого поколения;
  • таинственный электронный ключ;
  • карта SD на 16 гигов (быстрая).
Электронный ключ и SD-карта

Первое, что нужно сделать: опросить всех, кто имеет доступ к серверной

Число людей, которые имеют доступ к этому шкафу, очень невелико — ключ от серверной есть только у четырех человек:

  • руководитель;
  • завхоз;
  • мой коллега;
  • я.

Никто из нас ничего не знал о «малине», так что я спросил других коллег из IT — и озадачил их не меньше. Разумеется, я слышал, что некоторые люди за деньги размещают подобные штуки там, где им не место, — поэтому мне было очень интересно, чем же на самом деле занимается эта конкретная.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Комментарии (8)

  • Надо было подождать, пока устройство заберут - тогда бы и текущего инсайдера выявили.

    • А "брать" админ будет? Если безопасников в конторе нет, дофига народа узнает, плюс визуально будет много "нехарактерных" движений для офиса. После этого инсайдер по степени святости сможет посоперничать с папой римским, и соответственно заляжет на дно.
      ЗЫ Устройство подключено, так что далеко не факт что его вообще намерены забирать.

  • Стандартный пример промышленного шпионажа...

  • Мораль: иногда следует почаще заходить в серверную, хотя бы просто подумать о жизни мать ее. :)

  • Гугл достал платные статьи в ленте показывать

  • Бред... Просто так к файлам доступ получили... Что за дно будет ставить без шифровки... Или что то не договаривается... Фото семьи явно не русских... Самописную ось ещё ладно... Зрен с ним открыть северную поставить... На фига вопрос... Если из неё выходят... Не хочу в эту сторону думать.

  • Так это же на SecLab было с год назад причём бесплатно

Похожие материалы