2 pontos por GN⁺ 2025-04-16 | 1 comentários | Compartilhar no WhatsApp
  • Materiais apresentados ao Congresso e a órgãos de supervisão pelo funcionário de TI do NLRB, Daniel Berulis, indicam a possibilidade de que dados trabalhistas sensíveis tenham saído para fora após engenheiros da DOGE acessarem sistemas internos, além de sinais de ocultação de logs
  • A DOGE teria exigido acesso no nível máximo de privilégio, tenant owner level, e materiais públicos e registros de conversas internas incluem indícios de acesso sem deixar trilha de atividade, desativação de ferramentas de monitoramento e exclusão de registros de acesso
  • Berulis afirma ter identificado no sistema de gestão de casos NxGen e na rede um pico de cerca de 10 GB de transferência externa, conta da DOGE apagada, uso de contêineres, criação e exclusão de SAS token, desativação de MFA e aumento brusco de consultas DNS
  • O NLRB negou tanto o pedido de acesso da DOGE quanto qualquer acesso ao sistema, e afirmou que não houve violação, mas os materiais divulgados incluem dados forenses e registros de conversa, e vários especialistas em cibersegurança e direito trabalhista defendem investigação adicional
  • Se informações sobre organização sindical, casos em andamento, depoimentos e dados comerciais de empresas forem expostas, trabalhadores, sindicatos e empresas podem ser prejudicados, e como Musk e a SpaceX estão envolvidos em casos no NLRB, crescem as preocupações com conflito de interesse

Suspeitas sobre o acesso do NLRB pela DOGE

  • O National Labor Relations Board (NLRB) é uma agência federal independente que investiga e decide sobre denúncias de práticas trabalhistas injustas, e armazena dados sensíveis, como informações confidenciais sobre sindicalização de funcionários e informações comerciais proprietárias de empresas
  • No início de março, uma equipe de consultores ligada à iniciativa Department of Government Efficiency (DOGE) do presidente Trump chegou à sede do NLRB no sudeste de Washington, D.C.
  • Funcionários da DOGE, grupo efetivamente liderado por Elon Musk, conselheiro da Casa Branca e CEO de empresa de tecnologia, afirmam revisar dados de agências para verificar conformidade com políticas do governo e maximizar redução de custos e eficiência
  • Segundo a divulgação formal de denúncia de Berulis, entrevistas e registros de comunicações internas, funcionários de tecnologia do NLRB ficaram em alerta depois que engenheiros da DOGE obtiveram permissões de acesso e o volume de dados saindo da agência aumentou de forma acentuada
  • Esses dados podem ter incluído informações sobre sindicatos, processos judiciais em andamento e segredos corporativos, e quatro especialistas em direito trabalhista consideram que esses dados não deveriam sair do NLRB e também não têm relação com eficiência governamental ou corte de gastos

Forma de acesso e indícios de ocultação de logs

  • Engenheiros da DOGE perguntaram previamente sobre software, hardware, linguagens de programação e aplicações do NLRB, e identificaram que o NLRB usa infraestrutura comercial de nuvem e conexão com sistemas governamentais em nuvem
  • Segundo os materiais divulgados por Berulis, funcionários da DOGE exigiram contas com privilégio máximo, tenant owner level, nos sistemas internos da agência independente
    • Esse privilégio equivale a acesso praticamente irrestrito para ler, copiar e alterar dados
    • Um funcionário de TI propôs ativar as contas de modo compatível com a política de segurança do NLRB, permitindo rastreamento das atividades, mas os materiais divulgados afirmam que ele foi orientado a não atrapalhar a DOGE
  • Especialistas em cibersegurança avaliam que um método de acesso sem geração de logs de atividade entra em conflito com o NIST Cybersecurity Framework e recomendações da CISA, FBI e NSA
  • Jake Braun afirmou que o governo compra tecnologias de monitoramento de ameaças internas para detectar e impedir previamente vazamentos de dados sensíveis
  • Segundo Berulis, o orçamento do NLRB não foi suficiente por anos para adquirir esse tipo de ferramenta de detecção de ameaça interna

NxGen e o nome do repositório no GitHub

  • Berulis encontrou na conta pública de GitHub do engenheiro da DOGE Jordan Wick o nome de repositório NxGenBdoorExtract
    • Wick tornou o repositório privado antes que Berulis pudesse investigar mais
    • A NPR não conseguiu recuperar o código do repositório
  • Vários especialistas em cibersegurança consideram que o próprio nome sugere a possibilidade de ter sido projetado um backdoor, ou “Bdoor”, para extrair arquivos do NxGen, sistema interno de gestão de casos do NLRB
  • O NxGen é um sistema de gestão de casos projetado internamente para o NLRB
    • Muitos registros do NLRB acabam sendo públicos, mas o NxGen contém dados proprietários de concorrentes de empresas, informações pessoais de sindicalizados ou de funcionários que votaram em eleições sindicais, e depoimentos de casos em andamento
    • O acesso a esses dados é protegido por várias leis federais, incluindo o Privacy Act
  • Um dos engenheiros que criou o NxGen avaliou que a combinação entre remoção de logs e acesso em nível de tenant é o ponto mais preocupante

Indícios forenses que sugerem exfiltração de dados

  • Segundo os materiais divulgados por Berulis, depois que a DOGE deixou o NLRB, pelo menos uma conta da DOGE foi criada e depois apagada no sistema de nuvem do NLRB baseado em Microsoft
    • O nome da conta é apresentado como DogeSA_2d5c3e0446f9@nlrb.microsoft.com
  • Engenheiros da DOGE instalaram contêineres
    • Contêineres em si não são uma tecnologia suspeita, mas podem executar programas sem deixar rastros de atividade após remoção e sem expor conteúdo para outras partes da rede
  • Berulis afirma que, depois de ver dados saindo do “nucleus” do sistema de gestão de casos NxGen, também identificou um grande pico de tráfego externo na própria rede
  • Berulis explicou que os dados enviados para fora eram quase todos arquivos de texto e somavam cerca de 10 GB
    • O histórico completo de dados do NLRB ultrapassa 10 TB
    • Não está claro quais arquivos foram copiados e retirados, se foram comprimidos e consolidados, ou se apenas arquivos específicos foram consultados e obtidos
  • Berulis confirmou que naquela semana o NLRB não tinha projeto de armazenamento de backup nem migração de dados em andamento
  • Os logs de monitoramento de tráfego externo desapareceram, e os materiais divulgados afirmam que parte das operações de rede e da retirada de dados não tinha informação de atribuição além de “deleted account”

Controles de segurança desativados e suspeita de DNS tunneling

  • Berulis afirmou que um usuário desconhecido emitiu e depois excluiu um SAS token, uma chave de acesso de alto nível para acesso a contas de armazenamento
    • Depois disso, segundo ele, não havia como rastrear o que foi feito com esse token
  • Outras anomalias identificadas incluíram o enfraquecimento de vários controles de segurança
    • Foi desativado o controle que bloqueia login de dispositivos móveis inseguros ou não autorizados
    • Interfaces ficaram expostas à internet pública
    • Sistemas internos de alerta e monitoramento foram desligados manualmente
    • A autenticação multifator (MFA) foi desativada
    • Foi exportado um “user roster” com contatos de advogados externos que trabalharam com o NLRB
  • Berulis identificou cinco downloads via PowerShell no sistema e destacou bibliotecas de código que poderiam ser usadas para automatizar e ocultar a exfiltração de dados
    • requests-ip-rotator é descrita como uma ferramenta para gerar um volume muito grande de endereços IP
    • browserless é descrita como uma ferramenta de automação usada por desenvolvedores web
    • Os dois repositórios foram identificados como repositórios marcados com estrela em arquivos da conta de GitHub de Jordan Wick
  • Berulis levantou a possibilidade de DNS tunneling com base no fato de que, paralelamente à retirada de dados, as consultas DNS aumentaram 1.000 vezes em relação ao normal
    • DNS tunneling é um método de enviar dados para fora dividindo-os em pequenos fragmentos por meio de consultas e respostas
  • Um pesquisador de threat intelligence afirmou que atores de ameaça russos já usaram método semelhante em sistemas do governo dos EUA, mas que sem acesso completo ao sistema do NLRB é difícil verificar totalmente o caso
  • Russ Handorf, que atuou com cibersegurança no FBI, considera o quadro geral preocupante, mas diz que não se pode afirmar quem fez isso antes do fim da investigação

Tentativa de login a partir de IP russo e superfície externa de ataque

  • Segundo os materiais divulgados por Berulis, poucos minutos após a DOGE acessar o sistema do NLRB, houve uma tentativa de login a partir de um endereço IP russo
    • A tentativa usou uma das novas contas criadas para a DOGE, e Berulis afirma que nome de usuário e senha estavam corretos
    • A tentativa de login foi bloqueada
  • Especialistas em cibersegurança avaliam que algumas tentativas fracassadas de login a partir de IP russo, por si só, não constituem prova conclusiva
  • Ainda assim, combinadas com o fluxo geral de atividades, surge a preocupação de que forças hostis estrangeiras já possam estar procurando entradas em sistemas governamentais que engenheiros da DOGE talvez tenham exposto
  • Handorf explicou que, se engenheiros da DOGE deixaram pontos de acesso à rede abertos, espiões ou criminosos passam a ter mais facilidade para invadir depois da DOGE e roubar dados
  • Ann Lewis, ex-diretora do Technology Transformation Services da GSA, afirmou que o princípio do menor privilégio é um conceito básico de cibersegurança para proteger o acesso a dados de alto valor e ativos críticos, além de reduzir erros de usuário ou ações maliciosas

Negativa do NLRB e posição da Casa Branca

  • Tim Bearese, porta-voz interino do NLRB, afirmou que o NLRB não permitiu à DOGE acesso aos sistemas e que a DOGE também não solicitou esse acesso
  • Bearese disse que, após Berulis levantar as preocupações, a agência conduziu uma investigação, mas concluiu que não houve comprometimento dos sistemas da agência
  • A porta-voz da Casa Branca Anna Kelly afirmou que já era conhecido o fato de o presidente Trump ter assinado uma ordem executiva para contratar funcionários da DOGE nas agências e coordenar o compartilhamento de dados
    • Kelly disse que a equipe da DOGE tem trabalhado de forma aberta e transparente para eliminar desperdício, fraude e abuso em todo o governo
  • Os materiais divulgados por Berulis incluem dados forenses e registros de conversas com colegas, e foram analisados por 11 especialistas técnicos de outros órgãos do governo e do setor privado
  • A NPR contatou mais de 30 fontes nas áreas de governo, setor privado, movimento trabalhista, cibersegurança e aplicação da lei, e 11 delas, com conhecimento direto do funcionamento interno de agências governamentais e do Congresso, compartilharam preocupação com a possibilidade de a DOGE ter retirado dados sensíveis

Impacto da exposição de dados trabalhistas

  • O sistema de gestão de casos do NLRB inclui casos trabalhistas em andamento, listas de organizadores sindicais, notas internas de casos, informações pessoais como números de Social Security e endereços, além de dados proprietários empresariais não divulgados
  • Especialistas em direito trabalhista afirmam não ver razão legítima para a DOGE retirar esses dados do sistema de gestão de casos da agência com o objetivo de resolver questões de eficiência
  • Kate Bronfenbrenner teme que o simples fato de ter havido acesso a esses dados já faça trabalhadores hesitarem em prestar depoimento ao NLRB
  • Sharon Block afirmou que, se cópias desses dados chegarem a empresas, eles poderão ser usados de forma indevida para demitir funcionários envolvidos em organização sindical ou criar listas negras de organizadores
    • Essas práticas são ilegais segundo a legislação trabalhista federal aplicada pelo NLRB
  • As empresas também podem ser vítimas
    • Durante casos de práticas trabalhistas injustas, planos internos de negócio, estrutura organizacional e segredos comerciais das empresas podem constar nos materiais da investigação
    • Essas informações podem ter valor para concorrentes, reguladores e outros agentes externos

Musk, SpaceX e preocupações com conflito de interesse

  • Especialistas em direito trabalhista avaliam que há conflito de interesse evidente quando Elon Musk, suas empresas e ex-funcionários ou colegas obtêm cargos no governo e permissões de acesso a dados
  • Trump e Musk disseram em entrevista à Fox News que Musk se recusaria a participar de assuntos relacionados às próprias empresas
  • No entanto, a DOGE recebeu acesso de alto nível a muitos dados que poderiam beneficiar Musk, e não há evidência de barreiras que impeçam o uso indevido dessas informações
  • Há vários casos em andamento entre a SpaceX e o NLRB
    • Depois que ex-funcionários da SpaceX apresentaram denúncias ao NLRB, advogados da SpaceX moveram ações judiciais contra o NLRB
    • Eles alegam que a estrutura do NLRB é inconstitucional
  • Sharon Block, da Harvard Law, teme que, se a DOGE realmente obteve todos os dados, Musk possa ter acessado informações sobre casos que o governo prepara contra ele próprio
  • O especialista em cibersegurança Bruce Schneier também vem levantando preocupação de que a xAI, de Musk, possa usar dados coletados pela DOGE para treinar algoritmos

Padrões semelhantes observados em outras agências

  • Em mais de 10 ações judiciais em curso na Justiça federal, juízes exigiram que a DOGE explique por que precisa de acesso tão amplo a dados sensíveis de americanos, como registros do Social Security, prontuários médicos e informações tributárias
  • No caso do sistema de pagamentos do Treasury Department, a juíza federal Jeannette Vargas bloqueou em 21 de fevereiro o acesso da DOGE, entendendo que havia possibilidade real de informações sensíveis já terem sido compartilhadas para fora do Treasury
  • Um assessor da minoria democrata no House Oversight Committee afirmou que o comitê possui vários relatos verificáveis de que a DOGE retirou dados sensíveis do governo em diversas agências para finalidades desconhecidas
  • Erie Meyer, ex-CTO do CFPB, afirmou que funcionários da DOGE receberam acesso “God-tier” aos sistemas do CFPB, desligaram logs de auditoria e de eventos e colocaram em licença administrativa especialistas em cibersegurança responsáveis por detectar ameaças internas
  • Um funcionário de uma agência ligada ao Interior Department afirmou que, mesmo com alertas de ameaça interna disparando, a equipe de cibersegurança foi orientada a aguardar e não bloquear o acesso de novos usuários
  • Quarenta e seis ex-altos funcionários da GSA afirmaram em carta aberta de 13 de março que sistemas de TI altamente sensíveis estão sendo colocados em risco e que informações sensíveis estão sendo baixadas para fontes externas não verificadas

Ordem executiva e ampliação do compartilhamento de informações

  • Algumas semanas depois de funcionários da DOGE entrarem em prédios federais, Trump emitiu uma ordem executiva pedindo ampliação do compartilhamento de dados por meio da “eliminação de silos de informação”
  • Kel McClanahan, da National Security Counselors, afirmou que a ordem executiva parece uma tentativa de dar justificativa adicional para que engenheiros da DOGE acessem e combinem dados federais sensíveis
  • McClanahan disse que o Privacy Act foi criado há 50 anos em resposta ao problema de o governo federal reter informação demais sobre cidadãos comuns, e que há uma razão para a existência desses silos de informação
  • Uma fonte ex-integrante do governo afirmou saber que a DOGE vem continuando visitas recentes a agências federais em todo o país, incluindo a Securities and Exchange Commission
  • Ainda não está claro quanto dado sensível foi removido, coletado e combinado em todo o governo

Divulgação de Berulis e pedido de investigação

  • Berulis decidiu se manifestar publicamente por sentir que tentativas internas de investigação foram bloqueadas e que havia esforços para silenciá-lo
  • Segundo carta anexada de seu advogado Andrew Bakaj, foi colado na porta da casa de Berulis um impresso com mensagem ameaçadora, informações pessoais sensíveis e uma foto de sua caminhada aparentemente feita por drone
    • Não está claro quem enviou o material
    • Autoridades policiais estão investigando a carta
  • Berulis considera que agências com mais recursos, como a CISA ou o FBI, deveriam investigar as atividades suspeitas
  • O NLRB afirmou que cooperará com investigações decorrentes da denúncia apresentada por Berulis ao Congresso
  • Berulis pediu transparência aos engenheiros da DOGE e disse que, se não têm nada a esconder, não deveriam apagar logs nem agir de forma furtiva, e que, se tudo não passou de um mal-entendido, deveriam provar isso

1 comentários

 
GN⁺ 2025-04-16
Opiniões no Hacker News
  • Esta parte é realmente crítica: numa auditoria de eficiência de verdade, pode até ser necessário ter muitos privilégios de acesso para procurar rastros de atividades ocultas, mas não há motivo algum para esconder os rastros do que eles mesmos fizeram.

    Enquanto isso, segundo materiais públicos e registros de comunicações internas, os integrantes da equipe do DOGE teriam pedido que suas atividades não fossem registradas nos sistemas e, depois, tentado encobrir rastros desligando ferramentas de monitoramento e apagando manualmente registros de acesso. Vários especialistas em cibersegurança entrevistados pela NPR compararam esse comportamento evasivo ao que se esperaria de hackers criminosos ou patrocinados por Estados.
    A mensagem posterior de atividade russa pode ser coincidência ou apenas ruído de fundo da internet, mas, considerando que eles não parecem tecnicamente competentes e estão avançando muito rápido em sistemas que não entendem, não seria nada surpreendente se tivessem exposto algo sem querer ou se alguém já tivesse sido comprometido.

  • Do ponto de vista de quem não é americano, se ainda não fizeram isso, empresas privadas, pesquisadores de segurança e o público em geral deveriam começar a tratar agências do governo dos EUA como uma ameaça à privacidade e à segurança, como phishers ou golpistas.
    Se uma agência governamental foi comprometida por backdoors de software ou outros mecanismos, então todos os dados e sistemas aos quais essa agência tem acesso também devem ser considerados comprometidos.

    • Parece que o objetivo de tudo isso é exatamente esse.
    • Neoliberalismo → corporativismo → fascismo/autocracia
      Pessoas são apenas recursos humanos a serem comercializados. A tecnologia de anúncios vira uma agência privada de inteligência. Pessoas não são pessoas e não têm direitos. Se você não conseguir libertar a si mesmo e as pessoas que ama da lavagem cerebral neoliberal.
  • A realidade lamentável é que metade da população dos EUA vê a NLRB como um fardo para pequenos empresários. Como as políticas mudam com frequência, os custos de conformidade e a complexidade aumentam para quem não tem muitos recursos jurídicos [1].
    E essa mesma metade não acredita em nada que venha de npr.org. É preciso entender essa dinâmica para compreender o estado atual do debate nos EUA.
    [1] https://edworkforce.house.gov/news/documentsingle.aspx?Docum...

    • Considero a NPR um veículo de propaganda puramente de esquerda, comandado por uma ex-agente da CIA que vê a verdade como algo inconveniente.
    • Também pode haver quem diga que isso é retaliação pelos cortes de orçamento que a NPR sofreu para os próximos 2 anos.
  • Não é chocante, mas o mais frustrante é que provavelmente nada vai acontecer. Não tenho nenhuma confiança de que isso será resolvido; no fim, deve acabar com a mesma gritaria de fake news.
    Parece que a raposa já entrou no galinheiro.

    • A ideia de que alguém invadiu, a partir da Rússia via Starlink, usando credenciais de login válidas é tão difícil de acreditar que nem em ficção científica passaria. Comparada a esses palhaços, Reality Winner parece uma heroína.
    • A única coisa que políticos temem é não se reeleger. Por isso, acho que o único caminho é fazer os eleitores cobrarem responsabilidade de seus representantes locais.
      Se você iniciar uma campanha no seu estado, provavelmente receberá uma resposta bem rápido. Eles são muito sensíveis à popularidade, e a concorrência importa.
  • Li isso no BSky
    Há alguns trechos de documentos públicos protegidos do denunciante
    https://bsky.app/profile/mattjay.com/post/3ln2dgoksce2e
    Parece que os funcionários de Elon entraram e copiaram tudo. Aqui é a NLRB, então há muito material sensível, mas qualquer órgão do governo deve ter uma quantidade enorme de material sensível. E parece que enviaram isso para algum lugar. Antes disso, parecem ter desligado todo o logging e muitos recursos de segurança para tentar esconder os rastros
    Isso é grave. Essas pessoas parecem agentes mal-intencionados com privilégios em nível estatal para acessar tudo
    Além disso, são uma equipe jovem, parecem não entender direito de segurança e também parecem ter sido hackeados por um APT russo profissional operado pelo Estado

  • Acho que precisamos tentar entender o que é NxGenBdoorExtract. NxGen é um sistema para a NLRB, e Bdoor remete fortemente a backdoor
    Ele derrubou o Git ou tornou-o privado. Também não dá para encontrar no archive.org

    • Ou então é preciso ver quem tem acesso a DogeSA_2d5c3e0446f9@nlrb.microsoft.com
      https://oversightdemocrats.house.gov/sites/evo-subsites/demo...
    • Por outro lado, há duas coisas um pouco estranhas na captura de tela desse repositório. Primeiro, o timestamp do repositório está cortado, mas os itens parecem estar em ordem cronológica inversa, dando a impressão de que esse repositório existia por volta de 2021 ou antes
      Se o proprietário o tornar público de novo ou restaurá-lo, todas as especulações podem acabar
    • A marcação Mission 2 é interessante. Ela sugere que o DOGE pode ter uma Mission 1, ou seja, o objetivo divulgado publicamente, e uma Mission 2 oculta que só Musk e seus subordinados conhecem
    • No archive.today há um snapshot de 28 de fevereiro de 2025, mas não aparece um repositório com esse nome
      https://archive.ph/fUa5Q
  • Pelo contexto que entendi, os funcionários do DOGE são todos funcionários temporários do governo, e seus contratos expiram por volta de junho. Supondo que sigam a lei — uma grande suposição —, eles estão revirando várias agências com enorme urgência para agradar Elon ou pessoas no poder
    É preciso resistir tendo esse prazo em mente

    • Eles estão usando táticas coercitivas. Segundo a matéria, o denunciante foi ameaçado, e na SSA um funcionário com 26 anos de carreira foi arrastado para fora do prédio. Algo semelhante aconteceu no IRS
      O DOGE tem o apoio dos US Marshals e do presidente. Dá para resistir, mas no fim você só acaba tendo o acesso bloqueado
  • Dizem que os funcionários do DOGE exigiram privilégios de acesso de nível máximo e que, quando a equipe de TI propôs um procedimento simplificado para ativar contas de uma forma que permitisse rastrear as atividades de acordo com as políticas de segurança da NLRB, foi dito a ela para não atrapalhar o caminho do DOGE
    Mas eles de fato desligaram o logging? Não sei como isso é feito. Alguém sabe de qual sistema de controle de acesso estão falando?

    • Parece que o sistema NxGen tem logging em nível de aplicação, e que o DOGE obteve permissão para ler o underlying storage sem passar pela aplicação
      No entanto, mais adiante a matéria diz que também havia controles e sistemas de monitoramento específicos que Berulis constatou que estavam de fato desligados
  • Se houver eleições novamente no futuro e pessoas mais normais e qualificadas assumirem os cargos, o Departamento de Justiça vai ficar ocupado em um nível insustentável por décadas

  • O denunciante e seu advogado deram entrevistas à CNN e à MSNBC
    CNN: https://www.youtube.com/watch?v=TsqgXfrSksI