Tajemnicze Raspberry Pi znalezione w szafie ze switchami

dodał 17 stycznia 2019 o 13:20 w kategorii Info, Włamania  z tagami:
Tajemnicze Raspberry Pi znalezione w szafie ze switchami

Otwieracie szafę w serwerowni i znajdujecie w środku komputerek Raspberry Pi, podłączony do prądu oraz do kabla sieciowego. Szukacie właściciela – i okazuje się, że o urządzeniu nikt w firmie nie wie i nikt się do niego nie przyznaje. Co robicie dalej?

Dokładnie taki scenariusz przydarzył się w organizacji, w której pracuje Christian Haschek. Christian opisał swoją analizę incydentu i choć nie doprowadza nas do samego końca, to proces analizy także jest dość ciekawy. Przeczytajcie.

Zobacz, co znalazłem w szafie

Zaczęło się od informacji o dziwnym odkryciu. Jeden ze współpracowników znalazł coś w szafie ze switchami. Wyglądało to tak:

Zestaw składał się z Raspberry, dongla USB o nieznanym przeznaczeniu oraz karty SD o pojemności 16 GB. Zakładając, że to pewnie dzieło jednego z pracowników, Christian poprosił o udokumentowanie znaleziska i zabrał się do jego analizy, by ustalić właściciela. Najpierw przepytał osoby posiadające dostęp do szafy (szef, on, jego kolega i jeszcze jedna osoba), lecz nikt nie rozpoznawał urządzenia. Zapytał dział IT – podobna odpowiedź. Czas więc zidentyfikować działanie sprzętu.

Zaczął od dongla. Pomógł Reddit, który szybko ustalił, że to moduł zapewniający łączność Wi-Fi, Bluetooth oraz RFID. To nie była zbyt dobra wiadomość, biorąc pod uwagę fakt, że nikt z pracowników nie przyznał się do bycia właścicielem urządzenia. Czas zatem zabrać się kartę SD. Było na niej kilka partycji, a na jednej z nich pliki należące do narzędzia Resin (obecnie nazywanego Balena), które jest płatnym serwisem do zarządzania i monitoringu urządzeń IoT. Christian szybko zidentyfikował plik config.json, który wyglądał tak:

Nazwa aplikacji „logger” nie brzmi zbyt optymistycznie. Na szczęście w pliku znajdowała się dość charakterystyczna nazwa użytkownika (zapewne usługi Rasin). Google wskazało na jej podstawie bardzo starą stronę przedstawiającą rodzinę z tego samego miasta, gdzie znaleziono urządzenie i jednego z jej członków. Strona zawierała także adres rodzinnego domu.

Inny plik na karcie miał nazwę LICENSE.md i zawierał nazwę firmy, która najwyraźniej była producentem urządzenia. Współzałożycielem tej firmy okazała się ta sama osoba, na której ślad Christian trafił na podstawie nazwy użytkownika. Niestety na karcie nie udało się znaleźć danych zbieranych przez urządzenie. Christian znalazł za to w innym pliku konfiguracyjnym ślad nazwy sieci Wi-Fi, w której urządzenie było wcześniej testowane. Na podstawie tej nazwy sieci i dzięki stronie wigle.net zlokalizował okolicę, w której sieć się znajduje. Nie jest chyba niespodzianką, że trafił na ten sam adres, który zidentyfikował wcześniej w oparciu o nazwę użytkownika.

Podsumowanie

Christian ustalił także na podstawie logów DNS, kiedy urządzenie zostało zainstalowane i kto przebywał wtedy w okolicy szafy. Logi RADIUS-a pokazały, że były pracownik próbował się logować wtedy na nieaktywne już konto w sieci Wi-Fi. Oficjalnie dysponował kluczami do biura, by podobno móc zabrać swoje rzeczy. Co prawda, artykuł tego już nie wspomina, ale we wpisie na Reddicie Christian ujawnia, że były pracownik przyznał się do zainstalowania urządzenia około rok wcześniej. Rzekomo miało służyć do zbierania danych w celu „identyfikowania problemów z siecią i śledzenia ruchu osób w okolicy biura”. Niestety żadnych danych, które miały pomóc firmie, nie był w stanie przekazać. Sprawa została przekazana organom ścigania.

PS. Idźcie sprawdzić swoje szafy :)