Ağ Dolabından Çıkan Raspberry Pi'nin İlginç Macerası

Raspberry Pi’yi bulduk, analiz ettik ve ağımıza yerleştiren kişiyi bulduk ama nasıl?

Geçen hafta, iş arkadaşım tarafından görsel eki bulunan bir mesaj aldım.

İş Arkadaşımın Mesajı

Ondan Raspberry Pi'nin fişini çıkarmasını, güvenli bir yerde saklamasını, tüm parçaların fotoğrafını çekmesini ve SD kartın resmini çekmesini istedim (Genellikle uzaktan çalışıyorum). Pekçok Raspberry Pi projesinde çalıştım ve bu Raspberry Pi'nin ne yaptığını bulabileceğimden emindim.

Bu noktada kimsenin aklına zararlı bir yazılım gelmedi, çalışanlarımızdan birinin bizimle oyun oynadığını düşünüyorduk.

Parçalar

3 bölüm vardı:

• 1. Nesil Raspberry Pi B
• Gizemli bir USB dongle
• 16 GB sd kart (hızlı)

USB Dongle ve SD Kart

Yapılacak İlk Şey: Bu Ağ Dolabına Erişebilen Herkesi Durumla İlgili Sorgulayın

Bu küçük kabine erişebilen kişi sayısı çok sınırlıydı. Bu oda için sadece 4 kişide anahtar var:

1. Yönetici
2. Bekçi
3. İş Arkadaşım
4. Ben

Hiçbiri bu konuda bir şey bilmiyordu, bu yüzden BT'de çalışan arkadaşlarıma sordum ve onlar da benim gibi şaşkındı. İnsanların böyle şeyleri koymaları için para aldıklarını duydum ve amacının ne olduğunu bulmakla çok ilgileniyordum.

Bu USB Dongle da Ne?

Bu gizemi çözmeme yardımcı olması için Reddit kullanıcılarından yardım istedim ve kesinlikle dongle'ı bir mikroişlemci olarak tanımladılar. Neredeyse Raspberry Pi'nin ki kadar güçlü: nRF52832-MDK . Çok güçlü bir wifi, bluetooth ve RFID okuyucu.

NRF52832-MDK USB Donanımı

Bu, şüphesiz eski Raspberry Pi'ye bir wifi ve bluetooth bağlantısı vermiş oldu, bu şeyde şimdi wifi de var ..

SD Kart İmajını Parçalama Zamanı

SD kartın bölünmüş birçok bölümü vardı. Çoğunluğu ext4, bir bölümü fat16'idi.

Kartın GParted Görünümü

Şimdi bunu takıp bir inceleyelim.

Donanımı taktığımda Debian’ım büyük bir ipucunu söyledi: Resin

SD Karttaki Resin Bölümleri

Bu Resin de Ne?

Resin(şimdi Balena olarak yeniden adlandırılmış), IOT cihazları için görüntü oluşturabileceğiniz, bu cihazları dağıtabileceğiniz ve resin güncellemeleriyle verilerini alabileceğiniz ücretli bir IOT web hizmetidir.

Resin ayrıca, cihaza bir VPN kurar, böylece toplanan veriler güvenli bir şekilde aktarılır. Açıkçası, bu cihazın kullandığı servis ücretli olduğu için bıraktığı izlerin tekrar ele alınması gerekiyordu.

Bölümlere Yakından Bakmak

İlk bölümlemeye “resin-boot” deniliyor.

Gözleriniz bir şeyi yakaladı mı? config.json dosyasını bulduk. Bu bizim için güzel bir ipucu.

resin-boot bölümündeki config.json

Bu dosyadan ne çıkarabiliriz:

1. Bu uygulama resin tarafından “logger” olarak çağrılıyor. Bu iyiye işaret değil.
2. Bir adet kullanıcı adına sahibiz. Bu kullanıcı adı resin cihazının hesap girişi gibi gözüküyor.
3. Cihazın VPN bağlantısını kullandığı port 443 olarak görünüyor.
4. Bir kayıt tarihi var. 13 Mayıs 2018'de kurulmuş.

Bu Kullanıcı Adı Hakkında…

config.json dosyasından çıkan bu kullanıcı adını Gugılladığımda, Raspbery Pi’yi bulduğumuz kasabada birini buldum. Şirket, kayıtlarını araştırdı ama böyle birini bulamadı.

İşin garip tarafı, 2001 yılından itibaren “yetenekli çocukların” ebeveynlerinin onlar hakkında makale yazdıkları ve ev adresleriyle birlikte telefon numaralarını da kullanarak imzaladıkları bir web sitesi buldum. Bu sayede bu aile hakkında bir adresim oldu.

Gerçeği Değil, Bir Benzeri

Kullanıcı adları birden fazla kişi tarafından kullanılma eğiliminde olduğu için bu benim için yanlış bir ipucu olabilirdi, ancak bu adı aklımda tutmaya devam etmeliyim.

resin-data

Veri dosyasında saklanan hiçbir veri yoktu ancak birçok ve karmakarışık bir şekilde nodejs uygulaması vardı ve bunun ne anlama geldiğini bilemedim. Dongle’la konuşmak için hangi bağlantıları kullandığını görebiliyordum fakat gerçekte hangi verileri topladığını bulamıyordum. Sadece bulunduğu bölgede(Müdürlerin ofislerinin çevresinde) ve belki de wifi paketlerinde bulunan bluetooth ve wifi cihazlarının hareket profillerini topladığını varsayabiliyordum.

Fakat çok ilginç bir şey buldum: bir LICENSE.md dosyası

LICENSE.md Dosyasının Ekran Görüntüsü

Garip… Neden bu nodejs uygulaması gizli bir yazılım parçası içeriyor? Şirketin telif hakkı başlığını aldım ve Gugılladım, tahmin edin ne oldu?

Config Dosyasında Kullanıcı Adını Bulduğum Adamlardan Biri Bir Hissedar

Bu benim ötemde bir şey, bir şirketin kurucu ortakları neden bu cihazları şehrin her yerine dağıtıyor…

Saldırganların Ev Adresini Alma

Bulduğum çok ilginç bir şey de, üçüncü bölümdeki(resin-state) /root-overlay/etc/NetworkManager/system-connections/ dizini oldu. resin-wifi-01 dosyası var ve tahmin edin ne içeriyor?

Aygıtı ayarlamak(veya test etmek) için kullanılan wifiye ait wifi kimlik bilgilerini içeriyor.Kesinlikle bizim şirketin wifi’si değil. Bir wifi’ye ait konumu bulmak için ne yaparız? wigle.net’e gideriz, SSID(wifi adı) gireriz ve bize wifi’nin dünyanın neresinde olduğunu gösterir.

Gerçek Lokasyon ve İsim Değil

Tahmin edin ne oldu? Size daha önceden bahsettiğim yetenekli çocukların ebeveynlerinin adresi karşımıza çıktı.

Pi Oraya Nasıl ve Ne Zaman Geldi?

DNS kayıtlarını kontrol ettim ve Pi'nin ağda ilk ne zaman ve hangi saatte görüldüğünü buldum. Sonrasında RADIUS günlüklerini kontrol ettim ve devre dışı bırakılmış bir hesabın wifi ile bağlantı kurmaya çalıştığını gösteren birden fazla hata mesajı gördüm.

Devre dışı bırakılmış olan hesap, binadan tüm eşyalarını toplamadan giden, birkaç ay boyunca anahtarın kendisinde kalmasını isteyen eski bir çalışana aitti. (Kim olduğunu sormayın…)

Şimdi Ne Oldu?

Hukuk, olayı devraldı, ben de görevimi yaptım.

Benim için çok ilginç bir mücadele oldu ve Reddit'teki herkese bu bulmacanın bir parçası olduğu için teşekkür etmek istiyorum.

Bu yazı Christian Hascheck'in blogunda yayınlanmıştır.
Asıl Metin:
https://blog.haschek.at/2018/the-curious-case-of-the-RasPi-in-our-network.html