Znalazł w szafie rackowej podejrzane urządzenie – analiza backdoora

21 stycznia 2019, 11:50 | W biegu | komentarzy 6
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Cała historia dostępna jest tutaj. Urządzenie to RPi z dodatkowym USB donglem:

RPi

Nikt nie znał pochodzenia tego sprzętu. Na początek zidentyfikowano dongiel (daje możliwość komunikacji WiFi / Bluetooth):

Niespodzianka

Jak widzicie wyżej, urządzenie wpięte było również w sieć przewodową. Dalsza analiza pokazała działanie VPN-a na urządzeniu (karta SD nie była w żaden sposób szyfrowana…). Po przejrzeniu plików konfiguracyjnych i pomocym.in. serwisu wigle.net udało się namierzyć najprawdopodobniejszego napastnika. To wg analizy były pracownik, który po zwolnieniu jeszcze na jakiś czas dostał klucz do szafy (tak żeby wszystko uprzątnąć). Jak widać było to takie trochę rozszerzone porządkowanie…

Pewnie sporo tego typu tematów zupełnie nie jest ujawnianych… choć wydarzają się coraz częściej.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Duży Pies

    Atakujący to kompletny amator!
    Zamiast Malinki mógł użyć komputerka na USB i cienkim kablem-przedłużaczem wpiąć go w system a sam komputerek mający małe gabaryty dobrze ukryć w dużej serwerowej szafie.
    Pewnie że w końcu ktoś by go odkrył, to pewne, ale raczej później niż wcześniej, na pewno później niż z Maliną.
    No i zostawił cyfrowe ślady na karcie SD, żenada!
    Ułom a nie haker!

    Odpowiedz
    • Amator, jak najbardziej. Choć powstaje pytanie ile osób nawet czegoś takiego nie wykryje…

      Odpowiedz
      • Mythos

        Pewnie sporo takich zabawek jest niewykrywanych, kilka serwerowni w swoim życiu widziałem i do policzenia tych, w których był porządek i wszystko systematycznie poukładane, wystarczyłaby mi jedna ręka byłego stolarza ;)

        Odpowiedz
    • Kot Rademenes

      Prawdziwy armator :)

      Odpowiedz
    • Krzysztof Kozłowski

      Jest też opcja, że służyło mu to do jakichś celów zawodowych i zapomniał zabrać :D

      Sam kiedyś zostawiłem przez zapomnienie u klienta skrzynkę, która służyła do zdalnej administracji (czasy, zanim powszechne były lepsze rozwiązania i stałe łącza, choć i dzisiaj czasem to się sprawdza lepiej. )
      Rozstałem sie z firmą i jakież było moje dziwienie jak po kilku latach odpaliłem sobie stary serwerek :D a skrzyneczka karnie nawiązała z nim połączenie :D:D:D
      Cóż zdziwienie właściciela było olbrzymie jak zadzwoniłem powiedzieć mu o pewnym problemie który mają. Okazało się że ma informatyka na etacie i przeszedł dwa audyty bezpieczeństwa w międzyczasie…
      Ale tej skrzynki stojącej sobie i pracującej jakoś nikt nie tykał, bo nikt nie wiedział do czego służy :D
      Ale pozytyw taki, że obecnie nam się współpraca układa bardzo dobrze :D

      Odpowiedz
  2. Fjuef kB

    Takie urządzenia teraz w kablach od USB ukrywają we wtyczce procesor.

    Odpowiedz

Odpowiedz