Denunciante: DOGE extraiu dados de casos da NLRB
(krebsonsecurity.com)- O arquiteto de segurança da NLRB, Daniel J. Berulis, afirma que integrantes do DOGE transferiram gigabytes de dados sensíveis dos arquivos de casos da agência no início de março e usaram contas de curta duração que quase não deixavam rastros
- Essas contas teriam sido criadas com privilégios de tenant admin nos sistemas da NLRB, permitindo ler, copiar e modificar dados de gerenciamento de casos do NxGen, além de limitar a visibilidade dos logs ou até apagá-los
- Depois de um pico no tráfego de saída da agência na madrugada de 4 de março, foi identificado que uma nova conta transferiu cerca de 10 GB, mas Berulis e seus colegas não tinham permissão para verificar quais arquivos foram para onde
- Em até 15 minutos após a criação das novas contas do DOGE, houve mais de 20 tentativas de login a partir de endereços de internet da Rússia usando nomes de conta e senhas válidos, bloqueadas por uma política que impede logins de fora dos EUA
- A NLRB disse à NPR que não houve comprometimento, mas Berulis compartilhou alertas da Microsoft e capturas de tela de emails internos, afirmando que decidiu tornar o caso público após a interrupção do reporte ao US-CERT e que depois teve seus privilégios administrativos restringidos
Pontos centrais da denúncia interna na NLRB
- O arquiteto de segurança da NLRB, Daniel J. Berulis, enviou em 14 de abril uma carta de denúncia ao Senate Select Committee on Intelligence
- A principal alegação de Berulis é que, por cerca de um mês a partir de 3 de março, pessoas ligadas ao DOGE exigiram a criação de contas administrativas poderosas nos sistemas da NLRB e que essas contas foram tratadas como exceção para não deixar os registros normais de rede
- A NLRB é uma pequena agência federal independente que investiga e decide reclamações sobre práticas trabalhistas injustas, armazenando dados sensíveis como informações confidenciais de funcionários interessados em sindicalização e dados proprietários de empresas
Criação das contas do DOGE e exigência de privilégios
- Segundo Berulis, em 3 de março funcionários do DOGE chegaram à sede da NLRB, no sudeste de Washington, D.C., em SUVs pretas com escolta policial
- Eles se reuniram com a liderança da agência sem conversar com Berulis nem com a equipe de TI da NLRB
- Após a reunião, o acting CIO da NLRB teria instruído, segundo Berulis, que os procedimentos operacionais padrão não fossem seguidos na criação das contas do DOGE e que não fossem gerados logs ou registros dessas contas
- Já existiam funções que poderiam ser usadas por auditores, mas sem conceder permissões de alteração nem acesso a subsistemas sem aprovação
- Berulis afirma que a possibilidade de sugerir ao DOGE o uso dessas contas nem sequer foi considerada
- As novas contas teriam recebido privilégios irrestritos para ler, copiar e modificar informações do banco de dados da NLRB
- limitação de visibilidade dos logs
- atraso na retenção dos logs
- roteamento dos logs para outro local
- exclusão completa dos logs
- privilégios máximos que nem Berulis nem seu superior possuíam
Contêiner e transferência de dados do NxGen
- Berulis afirma ter identificado que, em 3 de março, uma das contas do DOGE criou um container — um ambiente virtual opaco
- Containers podem ser usados para construir e executar programas ou scripts sem expor externamente a atividade realizada
- Após verificação com colegas, ele disse que não havia histórico anterior de uso de containers dentro da rede da NLRB
- Na madrugada do dia seguinte, 4 de março, entre 3h e 4h, houve um grande aumento no tráfego de saída da agência
- Depois de vários dias de investigação, Berulis e colegas concluíram que uma das novas contas transferiu cerca de 10 GB de dados do sistema de gerenciamento de casos NxGen da NLRB
- O banco de dados do NxGen inclui informações sensíveis sobre sindicatos, processos judiciais em andamento e segredos empresariais
- Berulis e colegas não tinham acesso de rede suficiente para confirmar quais arquivos foram acessados ou transferidos, nem para onde os dados foram enviados
- Berulis disse ao Senado que não sabe se o total foi de 10 GB, se os dados foram agregados e comprimidos antes da transferência, nem descarta que mais dados possam ter sido exfiltrados
- Ele afirma que é extremamente raro que dados saiam diretamente do banco de dados da NLRB para o exterior, tornando esse pico muito incomum
Tentativas de login a partir de IP russo e contas suspeitas
- Berulis e seus colegas identificaram mais de 20 tentativas de login a partir do endereço de internet russo 83.149.30.186 usando credenciais válidas de contas de funcionários do DOGE
- Todas as tentativas foram bloqueadas por uma regra que proíbe logins fora dos Estados Unidos
- Segundo Berulis, pelo fluxo de autenticação parecia que quem tentava entrar tinha o nome de usuário e a senha corretos
- O fato de muitas dessas tentativas terem ocorrido em até 15 minutos após a criação das contas pelos engenheiros do DOGE aumentou ainda mais a preocupação
- Um dos nomes de conta de usuário da Microsoft associados à atividade suspeita era DogeSA_2d5c3e0446f9@nlrb.microsoft.com, e Berulis acredita que a conta foi criada na nuvem da NLRB para uso do DOGE e depois apagada
- Outras novas contas administrativas da nuvem da Microsoft incluíam nomes de usuário fora do padrão, como Whitesox, Chicago M. e Dancehall, Jamaica R
Ausência de logs e bibliotecas de código externas
- Em 5 de março, Berulis documentou que grande parte dos logs relacionados a recursos de rede criados recentemente havia desaparecido e que o network watcher do Microsoft Azure estava configurado como “off”, deixando de coletar e registrar dados normalmente
- Ele também descobriu que alguém havia baixado do GitHub três bibliotecas externas de código que não eram usadas pela NLRB nem por seus contratados
- O arquivo readme de um dos pacotes de código indicava uso para rotacionar conexões por meio de grandes pools de endereços de internet em nuvem
- O material dizia que esse pool de endereços era usado como proxy de “pseudo-infinite IPs” para web scraping e brute force
- Um ataque de brute force é um ataque de login que tenta rapidamente e de forma automatizada várias combinações de credenciais
Interrupção do reporte ao US-CERT e decisão de tornar público
- Segundo a denúncia de Berulis, por volta de 17 de março ficou claro que a NLRB já não tinha recursos nem acesso de rede para investigar completamente a atividade anômala das contas do DOGE
- Em 24 de março, o associate CIO da agência concordou que o caso deveria ser reportado ao US-CERT
- O US-CERT é operado pela CISA, ligada ao Department of Homeland Security, e fornece capacidade de resposta presencial a incidentes cibernéticos para órgãos federais e estaduais
- Berulis afirma que, entre 3 e 4 de abril, ele e o associate CIO receberam instruções para interromper o reporte e a investigação ao US-CERT, além de não produzir nem dar andamento a um relatório oficial
- Nesse momento, Berulis decidiu divulgar os resultados de sua investigação
Negativa da NLRB e materiais de Berulis
- O acting press secretary da NLRB, Tim Bearese, disse à NPR que o DOGE nunca pediu nem recebeu acesso aos sistemas da NLRB
- Segundo ele, depois que Berulis levantou as preocupações, a agência investigou o caso e concluiu que “não houve comprometimento dos sistemas da agência”
- A NLRB não respondeu às perguntas do KrebsOnSecurity
- Berulis compartilhou discussões por email dentro da agência sobre atividades inexplicáveis atribuídas às contas do DOGE, além de capturas de tela de alertas de segurança da NLRB sobre anomalias de rede observadas pela Microsoft naquele período
Contexto separado em torno da NLRB
- A CNN informou no mês passado que o presidente Trump demitiu três membros do conselho da NLRB, fazendo a agência perder o quórum necessário para funcionar e ficando praticamente paralisada
- A CNN escreveu que, apesar de suas limitações, a NLRB vinha sendo uma dor de cabeça para pessoas ricas e poderosas nos EUA, incluindo Elon Musk
- Amazon e a SpaceX de Musk vêm processando a NLRB por reclamações apresentadas pela agência em disputas sobre direitos trabalhistas e organização sindical
- As duas empresas alegam que a própria existência da NLRB é inconstitucional
- Em 5 de março, um tribunal federal de apelações dos EUA rejeitou por unanimidade a alegação do lado de Musk de que a estrutura da NLRB viola a Constituição
Restrições de acesso após a denúncia
- Berulis disse que, no mesmo dia em que a NPR publicou suas alegações, em 14 de abril, o deputy CIO da NLRB enviou um email informando que o controle administrativo havia sido removido de todas as contas de funcionários
- Como resultado, segundo Berulis, a equipe de TI da NLRB passou a não conseguir mais fazer seu trabalho adequadamente
- Em 16 de abril, um email enviado a toda a agência pela diretora da NLRB, Lasharn Hamilton, dizia que pessoas ligadas ao DOGE haviam solicitado uma reunião e reiterava a alegação de que a agência não tivera contato “oficial” anterior com o pessoal do DOGE
- O mesmo email informava aos funcionários que dois representantes do DOGE seriam alocados em tempo parcial na NLRB por vários meses
- Berulis afirma que, enquanto abria um chamado de suporte à Microsoft para pedir mais informações sobre as contas do DOGE, seu acesso de administrador de rede foi restringido
- Ele espera que parlamentares peçam à Microsoft mais informações sobre o que realmente aconteceu nessas contas
Alegação de intimidação e situação atual
- O advogado de Berulis, Andrew P. Bakaj, informou aos parlamentares que em 7 de abril, enquanto Berulis e a equipe jurídica preparavam os documentos da denúncia, alguém deixou um bilhete de ameaça na porta da casa dele
- Segundo ele, o bilhete incluía uma foto feita por drone mostrando Berulis caminhando pelo bairro
- O advogado disse que a mensagem de ameaça fazia referência explícita ao mesmo conteúdo que seria revelado ao órgão de supervisão do Senado
- Não se sabe quem fez isso, mas o advogado apenas especula que alguém com acesso aos sistemas da NLRB possa estar envolvido
- Berulis afirmou que a reação de amigos, colegas e do público foi majoritariamente de apoio e que não se arrepende de ter tornado o caso público
- Atualmente, Berulis está em licença familiar remunerada da NLRB e diz que funcionários do DOGE assumiram todo o controle administrativo, bloquearam todos os demais e que permissões limitadas serão atribuídas conforme a necessidade
- Material adicional: documento de denúncia de Berulis
1 comentários
Comentários do Hacker News
Já houve bastante discussão relacionada há uma semana
https://news.ycombinator.com/item?id=43691142
7 dias atrás, 1139 pontos, 528 comentários
Texto relacionado: declaração juramentada de denunciante sobre sinais anômalos no período em que o DOGE trabalhava no NLRB [pdf] - 16 horas atrás, 13 comentários - https://news.ycombinator.com/item?id=43755298
Este artigo inteiro parece uma comédia. Contas ocultas, tentativas de login a partir da Rússia, e ainda tem este trecho
“Berulis disse ao KrebsOnSecurity que, enquanto criava um chamado de suporte na Microsoft para pedir mais informações sobre as contas do DOGE, seu acesso de administrador de rede foi restringido. Agora ele espera que parlamentares pressionem a Microsoft a fornecer mais informações sobre o que de fato aconteceu com as contas”
Por que a Microsoft tem informações de login e de contas de uma agência governamental? Um mainframe no porão, sem Windows nem internet, seria melhor
Os governos da França/Alemanha estão investindo em alternativas por esse motivo: https://www.techspot.com/news/107225-france-germany-unveil-d...
Lembrando do Guccifer 2.0, essa persona não apenas usou um endereço IP russo, mas um IP atribuído ao prédio-sede do GRU
Edward Coristine é interessante porque em 2022 ele foi “demitido da empresa de cibersegurança Path Network sob suspeita de vazar informações internas da empresa para concorrentes” [1]. Parece o candidato ideal para ser aliciado por um serviço de inteligência estrangeiro. Além disso, também usava conta em rede social de cibercriminosos [2]
Não entendo como alguém assim consegue continuar trabalhando perto do governo
[1] https://en.wikipedia.org/wiki/Edward_Coristine
[2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...
Um dos objetivos das operações de influência russas é enfraquecer a coesão dos EUA, como já vimos em casos em que financiaram anúncios de grupos civis de diferentes orientações
Também é suspeito que isso tenha acontecido exatamente quando os EUA estavam negociando com a Rússia a paz na Ucrânia. Isso constrange o governo que está negociando e incentiva o atrito com a Rússia. É um sinal de que talvez não seja algo simples
Espionagem é complexa
A DOGE vai ser um estudo de caso interessante nos próximos anos. Um amigo recebeu contato de recrutamento para ajudar a reconstruir do zero o sistema nacional de aviação, no formato de contratado 1099 se reportando diretamente a Sean Duffy
O recrutador apresentou como se fosse um bico para noites e fins de semana, e o valor por hora era péssimo. Quando meu amigo disse que a remuneração era muito menor do que ele recebe hoje, retrucaram que ele ganharia a reputação de ter trabalhado na DOGE
Fico curioso para saber quanto a DOGE acabará gastando. Espero que não sejam literalmente bilhões de dólares; ainda assim, se economizarem US$ 100 bilhões a US$ 200 bilhões, mesmo considerando custos de processos etc., o efeito líquido pode ser positivo
Seria uma pena se este post morresse como duplicado
É verdade que a história foi postada duas vezes. A primeira submissão[0] é cerca de 10 horas mais antiga e tem só 3 comentários. Este post, no momento em que escrevo, tem 348 comentários. Se discussões interessantes importam, claramente este é o centro delas
[0] https://news.ycombinator.com/item?id=43758392
Por isso dá para submeter à vontade sem preocupação: ou é mesclado ao post existente, ou um novo post começa. Será que desta vez não funcionou? A URL também é a mesma. Às vezes enganam o detector de duplicatas com uma query string aleatória, mas neste caso é realmente idêntica. Estranho
“Berulis descobriu em 3 de março que uma das contas da DOGE havia criado um ambiente virtual opaco chamado ‘contêiner’. Ele poderia ser usado para criar e executar programas ou scripts sem expor a atividade externamente. Berulis disse que o contêiner chamou atenção porque, ao verificar com colegas, ninguém dentro da rede da NLRB jamais havia usado contêineres”
Esse trecho dá uma sensação estranha ao ler, por vários motivos
É surpreendente que isso claramente não entre no território de traição
Todos os freios e contrapesos foram usados, mas falharam
“A Rússia acessou dados dos EUA a partir de um IP russo”
Sou só eu, ou isso soa como alguém tentando criar uma conexão com a Rússia? Por que a inteligência russa agiria de forma tão amadora? Parece até que queriam ser pegos. Cui bono?
Para começo de conversa, o que fariam com dados da NLRB? Talvez tenham uma ideia, talvez não. O objetivo é: “pegamos seus dados, agora fiquem inseguros”. Ser pego também ajuda nesse objetivo
Pelo IP, poderia ser uma conexão móvel. Aparece como Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFon
Por exemplo, é possível que um dos indivíduos contratados estivesse viajando pela Rússia por algum motivo e usou o próprio hotspot para testar login
Dado o nível de incompetência revelado aqui, não seria surpreendente. É por isso que se precisa de um denunciante e por isso uma investigação começa. Agora será preciso esperar meses, anos, por cada solicitação de informação necessária, entre burocracia e disputas jurídicas, até que a investigação realmente comece direito. Extremamente frustrante
No cenário mais plausível, um dos amadores shiba-doge estava com o laptop infectado; depois que criou a conta, essas credenciais foram automaticamente sugadas por uma bot farm de língua russa, de onde a botnet iniciou alguns ataques automáticos, mas foi bloqueada pelo firewall regional
Para o público geral, parece bastar ligar os pontos e chegar a uma conclusão. Pessoas com algum conhecimento técnico receberam ferramentas poderosas, mas aparentemente não tiveram supervisão geral sobre quais consequências suas ações causariam
Por que este artigo desapareceu da primeira página do HN? Foi postado há 2 horas e tinha 649 pontos
Pelo risco de desencadear conversas indesejadas, o post é basicamente enviado para o vazio