Impossível sem auditoria adequada ativada. Sem auditoria, você pode apenas adivinhar com base em carimbos de data e hora em que exatamente o trabalho foi encerrado (se tiver essas informações) e quais usuários estavam conectados. Acho que eles estão fazendo login como usuários normais e usando algo como su ou sudo para se tornar raiz.
Sobre a auditoria - o básico seria ter um script de login para o root que definiria um arquivo de histórico diferente com base em quem está mudando para o root. Para uma auditoria mais sofisticada (o próprio log do kernel que o usuário faz o quê), procure no Google por "auditoria do Linux".