Abo
  • IT-Karriere:

Raspberry Pi: Rätselhafter Mikroprozessor im Netzwerkschrank enttarnt

Eine Geschichte darüber, wie wir im Netzwerkschrank ein schädliches Gerät gefunden, es mit Hilfe von Reddit analysiert und schließlich den Besitzer ertappt haben.

Artikel von Christian Haschek veröffentlicht am
Das gehört da ganz sicher nicht hin: ein Raspi im Serverschrank.
Das gehört da ganz sicher nicht hin: ein Raspi im Serverschrank. (Bild: Christian Haschek)

Anfang des Jahres bekam ich von einem Arbeitskollegen eine Nachricht mit einem beigefügten Bild (siehe oben). Ich bat ihn, das Gerät abzuschließen, es an einem sicheren Ort aufzuheben, Bilder von allen Einzelteilen zu machen und die Inhalte der SD-Karte zu spiegeln (da ich überwiegend über externen Zugriff arbeite). Ich habe schon an vielen Raspberry-Pi-Projekten gearbeitet und war mir deshalb sicher, dessen Funktion herausfinden zu können.

Inhalt:
  1. Raspberry Pi: Rätselhafter Mikroprozessor im Netzwerkschrank enttarnt
  2. Ein näherer Blick auf die Partitionen

Zu diesem Zeitpunkt ahnte noch niemand, dass es sich hierbei um etwas Schädliches handeln würde. Wir vermuteten, einer unserer Mitarbeiter hätte damit herumgespielt.

Die Einzelteile

  • ein Raspberry Pi b, erste Generation
  • ein mysteriöser USB-Stecker
  • eine schnelle 16-GByte-SD-Karte, Klasse 10

Der erste Schritt: alle mit Zugang zum Netzwerkschrank befragen

Der Zugang zum Kasten ist auf folgende Personen beschränkt:
1. den Geschäftsführer,
2. den Hausmeister,
3. meinen Arbeitskollegen,
4. mich.

Stellenmarkt
  1. SEG Automotive Germany GmbH, Stuttgart
  2. Technische Universität Darmstadt, Darmstadt

Niemand wusste etwas darüber. Also fragte ich Kollegen aus dem IT-Bereich, worum es sich handeln könnte, doch sie waren genauso verwundert darüber wie ich. Ich habe schon einmal davon gehört, dass es Leute gibt, die dafür bezahlt werden, ähnliche Geräte an unbefugten Stellen heimlich anzuschließen. Daher entschloss ich mich, der Sache genauer nachzugehen.

Was kann dieser USB-Stecker eigentlich?

Um mir bei der Lösung dieses Rätsels zu helfen, wandte ich mich an die Reddit-Community. Und siehe da, sie konnten das Gerät identifizieren. Es handelt sich um einen Kopierschutzstecker - einen Mikroprozessor, fast so stark wie das Raspberry Pi selbst: ein nRF52832-MDK, einen leistungsstarken WLAN-, Bluetooth- und RFID-Reader.

  • Die Nachricht meines Kollegen mit dem rätselhaften Raspberry Pi (Bild: Christian Haschek)
  • Der USB-Dongle mit SD-Karte (Bild: Christian Haschek)
  • GParted-Ansicht des Images (Bild: Christian Haschek)
  • Die Resin-Partitionen auf der SD-Karte (Bild: Christian Haschek)
  • Der Inhalt einer Partition (Bild: Christian Haschek)
  • Die Datei config.json auf der Resin-Bootpartition (Bild: Christian Haschek)
  • Screenshot einer Seite ähnlich der zur Recherche genutzten (Bild: Christian Haschek)
  • Die LICENSE.md-Datei (Bild: Christian Haschek)
  • Die SSID, die zum Setup genutzt wurde (Bild: Christian Haschek)
  • Wigle.net zeigt die dazugehörige Adresse an - hier ist nicht die echte Adresse zu sehen. (Bild: Christian Haschek)
Der USB-Dongle mit SD-Karte (Bild: Christian Haschek)

Der Stick sollte ohne Zweifel eine WLAN- und Bluetooth-Verbindung ermöglichen. Na toll, jetzt hat das Ding auch WLAN. Es wird Zeit, die Daten der SD-Karte genauer zu analysieren. Die SD-Karte enthielt mehrere Partitionen, einige ext4 (Linux) und eine Partition fat16 (boot).

Was zur Hölle ist Resin?

Na wunderbar, es wird Zeit, diese zu mounten. Mein Debian-Computer gab mir meinen ersten großen Hinweis: Es handelte sich hier um eine Resin-Installation. Was zur Hölle ist Resin? Resin (inzwischen umbenannt in Balena) ist ein bezahlter IoT-Web-Service, mit dem man Images für IoT-Geräte generieren kann, welche dann dafür verwendet werden, Daten und Updates zwischen diesen Geräten auszutauschen.

  • Die Nachricht meines Kollegen mit dem rätselhaften Raspberry Pi (Bild: Christian Haschek)
  • Der USB-Dongle mit SD-Karte (Bild: Christian Haschek)
  • GParted-Ansicht des Images (Bild: Christian Haschek)
  • Die Resin-Partitionen auf der SD-Karte (Bild: Christian Haschek)
  • Der Inhalt einer Partition (Bild: Christian Haschek)
  • Die Datei config.json auf der Resin-Bootpartition (Bild: Christian Haschek)
  • Screenshot einer Seite ähnlich der zur Recherche genutzten (Bild: Christian Haschek)
  • Die LICENSE.md-Datei (Bild: Christian Haschek)
  • Die SSID, die zum Setup genutzt wurde (Bild: Christian Haschek)
  • Wigle.net zeigt die dazugehörige Adresse an - hier ist nicht die echte Adresse zu sehen. (Bild: Christian Haschek)
Die Resin-Partitionen auf der SD-Karte (Bild: Christian Haschek)

Resin installiert auf dem Gerät auch einen VPN, um diese Daten sicher transferieren zu können. Offensichtlich hätte das Gerät wieder mitgenommen werden sollen. Der bezahlte Service hinterlässt eine verfolgbare Spur.

Ein näherer Blick auf die Partitionen 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. iOS 13 im Test
    Apple macht iOS hübscher
  2. T-Systems
    Niemand konnte erklären, "warum wir so aufgestellt sind"
  3. Pay-TV
    Großrazzia gegen illegales Fernsehstreaming in Europa
  4. Facebook-Urteil
    Künast muss übelste Beschimpfungen hinnehmen
  5. Indiegames-Rundschau
    Überleben im Dschungel und tausend Tode im Dunkeln
Anzeige
Hardware-Angebote
  2. (reduzierte Überstände, Restposten & Co.)
  3. täglich neue Deals bei Alternate.de
Kommentarübersicht
Re: Selbstanzeige (DSGVO)?
Bigfoo29 05. Mär 2019

In Deutschland und vielen Ländern Europas ja. International: Nein. Ich kann nicht sagen...

Das Kuckucksei
jones1024 26. Feb 2019

von Clifford Stoll solltet ihr mal lesen. Ihr werdet nicht mehr aufhören.

Re: OT - kuriose Aktivitäten im Serverschrank
Anonymer Nutzer 24. Feb 2019

Da war wohl jemand zu geizig für eine Datenwiederherstellung.

Re: Danke für die Lösung???
StefanGrossmann 24. Feb 2019

Es steht doch im Text. Der ehemalige Mitarbeiter hat damit die Qualität des Netzwerkes...

Re: Kein Mitleid für Firmen mit schlecht...
Sarkastius 22. Feb 2019

klingt sehr nach Boadcast Storm :-D

Folgen Sie uns
       
Acer Predator Thronos ausprobiert (Ifa 2019)

Acer stellt auf der Ifa den doch auffälligen Gaming-Stuhl Predator Thronos aus. Golem.de setzt sich hinein - und möchte am liebsten nicht mehr aussteigen.

Acer Predator Thronos ausprobiert (Ifa 2019) Video aufrufen
AMD Zen
Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt
Elektroauto
Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich
Astronomie
Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /