Perguntar isso é um pouco como: qual é o objetivo deste livro? Tem dois hardcovers, muitas páginas, um índice e um glossário. Você nunca saberá até que você olhe para ele.
O disco USB contém alguns dados, sua porta ethernet permite a comunicação com LAN e WAN. Eu não entendo porque você está afirmando que ele está conectado a uma VPN.
Os PIs de framboesa, embora de tamanho diminuto, são apenas computadores completos. Você pode escrever código rodando neles para praticamente qualquer coisa. Dada a natureza da pessoa que configurou isso e sua localização, seu uso mais provável é como um backdoor em seu sistema. O uso de um backdoor é mais uma vez tão geral quanto possível, incluindo geralmente todos os tipos de esquemas nefastos.
Parece improvável que ele realize qualquer tarefa útil relacionada à rede. No seu lugar, eu apenas desligaria da sua rede e veria o que está acontecendo. De qualquer forma, mesmo que estivesse realizando alguma coisa útil, como você poderia confiar que não faz executar nada de errado no lado?
Além de usar uma ferramenta de monitoramento de rede (que renderia muitas informações preciosas), você pode querer verificar o conteúdo do disco (se ele estiver criptografado, você pode ter certeza de que ele estava sendo usado para esquemas ilícitos), e o cartão SD do RPi. Você pode obter apenas conectar o cartão em seu PC, montá-lo e ler os arquivos que iniciam automaticamente, ou seja, o conteúdo de /etc/init.d, /etc/rc.local, a existência de programas como autossh, openvpn e assim por diante. Mais uma vez, se o cartão for criptografado, é uma aposta segura que ele estava tramando algo imprevisível.
Se você estiver realmente interessado nisso e nenhum dos componentes estiver criptografado, tente usar um programa de hypervisor (VirtualBox, HyperV, KVM, Xen, dependendo da sua plataforma) para criar uma inicialização da Máquina Virtual a partir do cartão SD. Deve haver um bilhão de referências do Google para Forensics in a Virtual Environment/Machine
...
Mas acima de tudo, eu muito rapidamente o desconecto.