fbpx
27.1 C
София

Ето как открих кой е поставил и включил Raspberry Pi в мрежовия шкаф

Оригиналът е на Christian Haschek

Най-четени

Даниел Десподов
Даниел Десподовhttps://www.kaldata.com/
Ежедневен автор на новини. Увличам се от съвременни технологии, оръжие, информационна безопасност, спорт, наука и концепцията Internet of Things.

Наскоро получих от моя баща, с който работим за един и същи клиент, съобщение с прикачена снимка. Помолих го да изключи откритото устройството, да го постави на някое удобно място, да го заснеме от всички страни и да запише дисковия образ на поставената в него SD карта памет. Това се налагаше да се направи защото аз работя отдалечено. Имам много проекти с Raspberry Pi и бях сигурен, че ще успея да разбера каква е ролята на това странно устройство, поставено в мрежовия шкаф на наелата ни компания.

Ето това изпрати баща ми

В началото никой не мислеше, че това е нещо зловредно, а просто това се експерименти на някой от служителите на нашия клиент.

Подробностите

Устройството се състои от три части:

  • Raspberry Pi B от първо поколение
  • Мистериозен USB донгъл
  • SD карта памет с капацитет 16 GB и висока скорост на обмен на данните
Това са SD картата и USB донгъла

Първа стъпка: кой има достъп до този мрежови шкаф

Оказа се, че достъп до този мрежови шкаф има твърде ограничен кръг от хора. Ключ за него имат само четирима души:

  1. Мениджърът
  2. Домакинът
  3. Моят колега
  4. Аз

Никой от тях нищо не знаеше и се допитах до колегите от целия IT отдел, но те също недоумяваха. Много добре ми е известно, че има хора, които за пари поставят подобни устройства в най-неочаквани места и ми стана интересно да разбера какво точно прави това нещо. А и клиентът е твърде сериозен и искаше да разбере какво се случва.

Що за USB донгъл е поставен?

За да се справя по-бързо с това поисках помощ от колективния разум на Reddit и потребителите на този форум-социална мрежа почти веднага идентифицираха малкото устройство като донгъл с процесор, възможностите на който дори са малко по-големи от тези на Rasberry Pi. Оказа се, че това е nRF52832-MDK – мощно устройство за работа с Wi-Fi, Bluetooth и RFID.

Това е nRF52832-MDK

Явно това компактно устройство осигурява на стария Raspberry Pi поддръжката на Wi-Fi и Bluetooth. Да, значи това нещо може да обменя данни по безжичен път…

SD картата

SD картата е разделена на няколко дяла. Повечето от тях са дялове на файловата система ext4 (linux), като има и един fat16 дял за осъществяване на зареждането.

Ето как изглежда картата памет в GParted

Какво пък – нека да монтираме този образ.

Моят debian box откри първата улика: инсталиран е resin.

Resin дяловете на SD картата

Какво все пак е Resin?

Resin, която сега вече се нарича Balena е платена IOT (интернет на нещата) онлайн услуга, която дава възможност да се генерират дискови образи за IOT устройствата, да се работи с тези устройства, да се изпращат необходимите ъпдейти и да се обменят данни чрез Resin.

Най-често Resin се употребява при използването на VPN връзки, за да криптира данните и по този начин те стават невъзможни за прочитане от страна на провайдърите. Може да се каже, че това устройство в мрежовия шкаф е трябвало да бъде взето оттам, понеже оставя съвсем ясна следа – нали услугата е платена и не е чак толкова трудно да се разбера на чие име и на какъв адрес е регистрирана.

Да се вгледаме по-внимателно в дяловете

Първият дял се нарича resin-boot.

Нещо да ви прави впечатление? Ето – вижда се файлът config.json. Нима веднага ударихме джакопта?

config.json частта в дела resin-boot

Какво можем да измъкнем от този файл?

  1. Приложението, което се намира на това resin се нарича logger. Твърде лош знак
  2. По-долу имаме username (скрил съм го). По всичко личи, че това е потребителското име на resin акаунта, който се използва от това устройство
  3. Малко по-нататък виждаме, че се използва VPN чрез 443-ти порт
  4. Дата на регистрация. Това устройство е стартирано (или за първи път е настроено) на 13-ти май 2018 година

Що се отнася до потребителското име…

Потърсих в Google потребителското име, което намерих във файла config.json (нарочно съм го скрил) и намерих един човек в същия град, където бе намерен въпросния едноплатков Raspberry Pi. Компанията, която поръча това разследване, провери базите си данни за този човек, но нищо не намери.

Но след това открих уеб сайт от 2001 година, в който родителите на надарени деца са качвали статии за тях и поради някаква причина в края на всяка статия са поставяли своите домашни адреси и телефони. И така получих твърде вероятните фамилия и адрес на това семейство.

Това не е откритият от мен сайт, но много прилича

Това можеше да се окаже фалшива и невярна следа, понеже често се случва съвсем различни хора да използват едно и също потребителско име. Нека засега просто да го запомним.

Делът resin-data

В папката data нямаше данни, но имаше обфусцирано приложение с много добро прикриване на кода, написано на nodejs, което и до днес не зная какво точно прави. Личи си, че осъществява връзка с донгъла, но не мога да разбера какви данни събира. Мога само да предположа, че приложението създава профили на движението на различните Bluetooth и Wi-Fi устройства близо до кабинета на мениджърите плюс може би събира някои Wi-Fi мрежови пакети.

Това са само предположения, но по-важното е, че открих нещо много по-интересно: файлът LICENSE.md.

Скрийншот на файла LICENSE.md

Твърде странно… За какво му е на едно nodejs приложение да използва лицензиран поверителен софтуер?  Веднага потърсих компанията, която бе вписана в Copyright заглавието. Ще познаете ли какво открих?

Оказа се, че човекът с потребителското име, който намерих във файла config, е съсобственикът на компанията.

Изобщо не мога да разбера, защо съоснователят на компанията би могъл да разпространява подобни устройства из града, но ок, добре де..


Измъкваме домашния адрес на нападателя

Намерих важен детайл в третия дял (resin-state). Това е файлът resin-wifi-01, намиращ се в /root-overlay/etc/NetworkManager/system-connections/. Ето какво има там:

В този файл твърдо са записани параметрите и паролата на Wi-Fi мрежата, използвана за настройка на устройството. А може тези данни да са използвани при неговото тестване. Това изобщо не е Wi-Fi мрежата на компанията. Какво остава? Остава да се намери мястото, съответстващо на името на тази Wi-Fi мрежа. И така, посещаваме wigle.net, въвеждаме SSID, който всъщност е името на Wi-Fi, и сайтът веднага ни съобщава в коя точка на света се намира тази безжична мрежа.

Мястото и името са променени

Помните ли адреса от сайта за надарени деца? Според wigle.net именно оттам са настройвали това устройство, скрито в мрежовия шкаф.

Възмездието

Как и кога този Pi е поставен във шкафа?

Проверих DNS логовете и намерих конкретните дата и час, когато устройството Pi е било включено в мрежата. Проверих и RADIUS логовете, за да разбера кой от служителите е бил наблизо по това време и видях многобройни съобщения за грешки, които съобщават, че към фирмената Wi-Fi мрежа се е опитвал да осъществи връзка вече деактивиран акаунт.

Оказа се, че този деактивиран акаунт е на бивш служител, който някак се е разбрал с мениджърите да му оставят за няколко месеца ключовете, за да може да изнесе своите неща от сградата. Не ме питайте как може да се получи подобно разрешение…

Какво следва

Аз съм дотук. След мен нещата бяха поети от юридическия отдел на компанията. Да, моята работа приключи и останалото не е включено в моята длъжностна характеристика.

Но за мен това бе една интересна главоблъсканица, в която използвах най-различни техники, като се надявам, че някои от тях ще се окажат полезни и за вас. Накрая искам да благодаря на всички Reddit потребители, които ми помогнаха да се справя с някои фрагменти.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

19 Коментара
стари
нови
Отзиви
Всички коментари

Нови ревюта

Asus Zenfone 9: Малкият голям смартфон

Преди седмица Asus представи новия си флагман Zenfone 9. С него компанията продължава традицията за компактен форм-фактор като флагмана от предишното си поколение. Исторически погледнато,...

Подобни новини