Abo

Services:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 2,50€ im Monat

Raspberry Pi: Rätselhafter Mikroprozessor im Netzwerkschrank enttarnt

Eine Geschichte darüber, wie wir im Netzwerkschrank ein schädliches Gerät gefunden, es mit Hilfe von Reddit analysiert und schließlich den Besitzer ertappt haben.

Artikel von Christian Haschek veröffentlicht am 19. Februar 2019, 12:00 Uhr

Das gehört da ganz sicher nicht hin: ein Raspi im Serverschrank. (Bild: Christian Haschek)

Anfang des Jahres bekam ich von einem Arbeitskollegen eine Nachricht mit einem beigefügten Bild (siehe oben). Ich bat ihn, das Gerät abzuschließen, es an einem sicheren Ort aufzuheben, Bilder von allen Einzelteilen zu machen und die Inhalte der SD-Karte zu spiegeln (da ich überwiegend über externen Zugriff arbeite). Ich habe schon an vielen Raspberry-Pi-Projekten gearbeitet und war mir deshalb sicher, dessen Funktion herausfinden zu können.

Inhalt:

Raspberry Pi: Rätselhafter Mikroprozessor im Netzwerkschrank enttarnt
Ein näherer Blick auf die Partitionen

Zu diesem Zeitpunkt ahnte noch niemand, dass es sich hierbei um etwas Schädliches handeln würde. Wir vermuteten, einer unserer Mitarbeiter hätte damit herumgespielt.

Die Einzelteile

ein Raspberry Pi b, erste Generation
ein mysteriöser USB-Stecker
eine schnelle 16-GByte-SD-Karte, Klasse 10

Der erste Schritt: alle mit Zugang zum Netzwerkschrank befragen

Der Zugang zum Kasten ist auf folgende Personen beschränkt:
1. den Geschäftsführer,
2. den Hausmeister,
3. meinen Arbeitskollegen,
4. mich.

Stellenmarkt

BWI GmbH, Nürnberg, Hilden, Düsseldorf
BWI GmbH, Rheinbach

Niemand wusste etwas darüber. Also fragte ich Kollegen aus dem IT-Bereich, worum es sich handeln könnte, doch sie waren genauso verwundert darüber wie ich. Ich habe schon einmal davon gehört, dass es Leute gibt, die dafür bezahlt werden, ähnliche Geräte an unbefugten Stellen heimlich anzuschließen. Daher entschloss ich mich, der Sache genauer nachzugehen.

Was kann dieser USB-Stecker eigentlich?

Um mir bei der Lösung dieses Rätsels zu helfen, wandte ich mich an die Reddit-Community. Und siehe da, sie konnten das Gerät identifizieren. Es handelt sich um einen Kopierschutzstecker - einen Mikroprozessor, fast so stark wie das Raspberry Pi selbst: ein nRF52832-MDK, einen leistungsstarken WLAN-, Bluetooth- und RFID-Reader.

Der USB-Dongle mit SD-Karte (Bild: Christian Haschek)

Der Stick sollte ohne Zweifel eine WLAN- und Bluetooth-Verbindung ermöglichen. Na toll, jetzt hat das Ding auch WLAN. Es wird Zeit, die Daten der SD-Karte genauer zu analysieren. Die SD-Karte enthielt mehrere Partitionen, einige ext4 (Linux) und eine Partition fat16 (boot).

Was zur Hölle ist Resin?

Na wunderbar, es wird Zeit, diese zu mounten. Mein Debian-Computer gab mir meinen ersten großen Hinweis: Es handelte sich hier um eine Resin-Installation. Was zur Hölle ist Resin? Resin (inzwischen umbenannt in Balena) ist ein bezahlter IoT-Web-Service, mit dem man Images für IoT-Geräte generieren kann, welche dann dafür verwendet werden, Daten und Updates zwischen diesen Geräten auszutauschen.

Die Resin-Partitionen auf der SD-Karte (Bild: Christian Haschek)

Resin installiert auf dem Gerät auch einen VPN, um diese Daten sicher transferieren zu können. Offensichtlich hätte das Gerät wieder mitgenommen werden sollen. Der bezahlte Service hinterlässt eine verfolgbare Spur.

Ein näherer Blick auf die Partitionen