1 pontos por GN⁺ 2025-04-23 | 1 comentários | Compartilhar no WhatsApp
  • O arquiteto de segurança da NLRB, Daniel J. Berulis, afirma que integrantes do DOGE transferiram gigabytes de dados sensíveis dos arquivos de casos da agência no início de março e usaram contas de curta duração que quase não deixavam rastros
  • Essas contas teriam sido criadas com privilégios de tenant admin nos sistemas da NLRB, permitindo ler, copiar e modificar dados de gerenciamento de casos do NxGen, além de limitar a visibilidade dos logs ou até apagá-los
  • Depois de um pico no tráfego de saída da agência na madrugada de 4 de março, foi identificado que uma nova conta transferiu cerca de 10 GB, mas Berulis e seus colegas não tinham permissão para verificar quais arquivos foram para onde
  • Em até 15 minutos após a criação das novas contas do DOGE, houve mais de 20 tentativas de login a partir de endereços de internet da Rússia usando nomes de conta e senhas válidos, bloqueadas por uma política que impede logins de fora dos EUA
  • A NLRB disse à NPR que não houve comprometimento, mas Berulis compartilhou alertas da Microsoft e capturas de tela de emails internos, afirmando que decidiu tornar o caso público após a interrupção do reporte ao US-CERT e que depois teve seus privilégios administrativos restringidos

Pontos centrais da denúncia interna na NLRB

  • O arquiteto de segurança da NLRB, Daniel J. Berulis, enviou em 14 de abril uma carta de denúncia ao Senate Select Committee on Intelligence
  • A principal alegação de Berulis é que, por cerca de um mês a partir de 3 de março, pessoas ligadas ao DOGE exigiram a criação de contas administrativas poderosas nos sistemas da NLRB e que essas contas foram tratadas como exceção para não deixar os registros normais de rede
  • A NLRB é uma pequena agência federal independente que investiga e decide reclamações sobre práticas trabalhistas injustas, armazenando dados sensíveis como informações confidenciais de funcionários interessados em sindicalização e dados proprietários de empresas

Criação das contas do DOGE e exigência de privilégios

  • Segundo Berulis, em 3 de março funcionários do DOGE chegaram à sede da NLRB, no sudeste de Washington, D.C., em SUVs pretas com escolta policial
  • Eles se reuniram com a liderança da agência sem conversar com Berulis nem com a equipe de TI da NLRB
  • Após a reunião, o acting CIO da NLRB teria instruído, segundo Berulis, que os procedimentos operacionais padrão não fossem seguidos na criação das contas do DOGE e que não fossem gerados logs ou registros dessas contas
  • Já existiam funções que poderiam ser usadas por auditores, mas sem conceder permissões de alteração nem acesso a subsistemas sem aprovação
    • Berulis afirma que a possibilidade de sugerir ao DOGE o uso dessas contas nem sequer foi considerada
  • As novas contas teriam recebido privilégios irrestritos para ler, copiar e modificar informações do banco de dados da NLRB
    • limitação de visibilidade dos logs
    • atraso na retenção dos logs
    • roteamento dos logs para outro local
    • exclusão completa dos logs
    • privilégios máximos que nem Berulis nem seu superior possuíam

Contêiner e transferência de dados do NxGen

  • Berulis afirma ter identificado que, em 3 de março, uma das contas do DOGE criou um container — um ambiente virtual opaco
  • Containers podem ser usados para construir e executar programas ou scripts sem expor externamente a atividade realizada
  • Após verificação com colegas, ele disse que não havia histórico anterior de uso de containers dentro da rede da NLRB
  • Na madrugada do dia seguinte, 4 de março, entre 3h e 4h, houve um grande aumento no tráfego de saída da agência
  • Depois de vários dias de investigação, Berulis e colegas concluíram que uma das novas contas transferiu cerca de 10 GB de dados do sistema de gerenciamento de casos NxGen da NLRB
    • O banco de dados do NxGen inclui informações sensíveis sobre sindicatos, processos judiciais em andamento e segredos empresariais
    • Berulis e colegas não tinham acesso de rede suficiente para confirmar quais arquivos foram acessados ou transferidos, nem para onde os dados foram enviados
    • Berulis disse ao Senado que não sabe se o total foi de 10 GB, se os dados foram agregados e comprimidos antes da transferência, nem descarta que mais dados possam ter sido exfiltrados
    • Ele afirma que é extremamente raro que dados saiam diretamente do banco de dados da NLRB para o exterior, tornando esse pico muito incomum

Tentativas de login a partir de IP russo e contas suspeitas

  • Berulis e seus colegas identificaram mais de 20 tentativas de login a partir do endereço de internet russo 83.149.30.186 usando credenciais válidas de contas de funcionários do DOGE
  • Todas as tentativas foram bloqueadas por uma regra que proíbe logins fora dos Estados Unidos
  • Segundo Berulis, pelo fluxo de autenticação parecia que quem tentava entrar tinha o nome de usuário e a senha corretos
  • O fato de muitas dessas tentativas terem ocorrido em até 15 minutos após a criação das contas pelos engenheiros do DOGE aumentou ainda mais a preocupação
  • Um dos nomes de conta de usuário da Microsoft associados à atividade suspeita era DogeSA_2d5c3e0446f9@nlrb.microsoft.com, e Berulis acredita que a conta foi criada na nuvem da NLRB para uso do DOGE e depois apagada
  • Outras novas contas administrativas da nuvem da Microsoft incluíam nomes de usuário fora do padrão, como Whitesox, Chicago M. e Dancehall, Jamaica R

Ausência de logs e bibliotecas de código externas

  • Em 5 de março, Berulis documentou que grande parte dos logs relacionados a recursos de rede criados recentemente havia desaparecido e que o network watcher do Microsoft Azure estava configurado como “off”, deixando de coletar e registrar dados normalmente
  • Ele também descobriu que alguém havia baixado do GitHub três bibliotecas externas de código que não eram usadas pela NLRB nem por seus contratados
  • O arquivo readme de um dos pacotes de código indicava uso para rotacionar conexões por meio de grandes pools de endereços de internet em nuvem
    • O material dizia que esse pool de endereços era usado como proxy de “pseudo-infinite IPs” para web scraping e brute force
    • Um ataque de brute force é um ataque de login que tenta rapidamente e de forma automatizada várias combinações de credenciais

Interrupção do reporte ao US-CERT e decisão de tornar público

  • Segundo a denúncia de Berulis, por volta de 17 de março ficou claro que a NLRB já não tinha recursos nem acesso de rede para investigar completamente a atividade anômala das contas do DOGE
  • Em 24 de março, o associate CIO da agência concordou que o caso deveria ser reportado ao US-CERT
  • O US-CERT é operado pela CISA, ligada ao Department of Homeland Security, e fornece capacidade de resposta presencial a incidentes cibernéticos para órgãos federais e estaduais
  • Berulis afirma que, entre 3 e 4 de abril, ele e o associate CIO receberam instruções para interromper o reporte e a investigação ao US-CERT, além de não produzir nem dar andamento a um relatório oficial
  • Nesse momento, Berulis decidiu divulgar os resultados de sua investigação

Negativa da NLRB e materiais de Berulis

  • O acting press secretary da NLRB, Tim Bearese, disse à NPR que o DOGE nunca pediu nem recebeu acesso aos sistemas da NLRB
  • Segundo ele, depois que Berulis levantou as preocupações, a agência investigou o caso e concluiu que “não houve comprometimento dos sistemas da agência”
  • A NLRB não respondeu às perguntas do KrebsOnSecurity
  • Berulis compartilhou discussões por email dentro da agência sobre atividades inexplicáveis atribuídas às contas do DOGE, além de capturas de tela de alertas de segurança da NLRB sobre anomalias de rede observadas pela Microsoft naquele período

Contexto separado em torno da NLRB

  • A CNN informou no mês passado que o presidente Trump demitiu três membros do conselho da NLRB, fazendo a agência perder o quórum necessário para funcionar e ficando praticamente paralisada
  • A CNN escreveu que, apesar de suas limitações, a NLRB vinha sendo uma dor de cabeça para pessoas ricas e poderosas nos EUA, incluindo Elon Musk
  • Amazon e a SpaceX de Musk vêm processando a NLRB por reclamações apresentadas pela agência em disputas sobre direitos trabalhistas e organização sindical
    • As duas empresas alegam que a própria existência da NLRB é inconstitucional
    • Em 5 de março, um tribunal federal de apelações dos EUA rejeitou por unanimidade a alegação do lado de Musk de que a estrutura da NLRB viola a Constituição

Restrições de acesso após a denúncia

  • Berulis disse que, no mesmo dia em que a NPR publicou suas alegações, em 14 de abril, o deputy CIO da NLRB enviou um email informando que o controle administrativo havia sido removido de todas as contas de funcionários
  • Como resultado, segundo Berulis, a equipe de TI da NLRB passou a não conseguir mais fazer seu trabalho adequadamente
  • Em 16 de abril, um email enviado a toda a agência pela diretora da NLRB, Lasharn Hamilton, dizia que pessoas ligadas ao DOGE haviam solicitado uma reunião e reiterava a alegação de que a agência não tivera contato “oficial” anterior com o pessoal do DOGE
  • O mesmo email informava aos funcionários que dois representantes do DOGE seriam alocados em tempo parcial na NLRB por vários meses
  • Berulis afirma que, enquanto abria um chamado de suporte à Microsoft para pedir mais informações sobre as contas do DOGE, seu acesso de administrador de rede foi restringido
  • Ele espera que parlamentares peçam à Microsoft mais informações sobre o que realmente aconteceu nessas contas

Alegação de intimidação e situação atual

  • O advogado de Berulis, Andrew P. Bakaj, informou aos parlamentares que em 7 de abril, enquanto Berulis e a equipe jurídica preparavam os documentos da denúncia, alguém deixou um bilhete de ameaça na porta da casa dele
  • Segundo ele, o bilhete incluía uma foto feita por drone mostrando Berulis caminhando pelo bairro
  • O advogado disse que a mensagem de ameaça fazia referência explícita ao mesmo conteúdo que seria revelado ao órgão de supervisão do Senado
  • Não se sabe quem fez isso, mas o advogado apenas especula que alguém com acesso aos sistemas da NLRB possa estar envolvido
  • Berulis afirmou que a reação de amigos, colegas e do público foi majoritariamente de apoio e que não se arrepende de ter tornado o caso público
  • Atualmente, Berulis está em licença familiar remunerada da NLRB e diz que funcionários do DOGE assumiram todo o controle administrativo, bloquearam todos os demais e que permissões limitadas serão atribuídas conforme a necessidade
  • Material adicional: documento de denúncia de Berulis

1 comentários

 
GN⁺ 2025-04-23
Comentários do Hacker News
  • Já houve bastante discussão relacionada há uma semana
    https://news.ycombinator.com/item?id=43691142

    • Um texto em que um denunciante detalha a possibilidade de o DOGE ter levado dados sensíveis do NLRBhttps://news.ycombinator.com/item?id=43691142
      7 dias atrás, 1139 pontos, 528 comentários
    • É bom que essa discussão continue. Há uns quatro grandes movimentos que a sociedade precisa lidar ao mesmo tempo agora, e cada um é grave o bastante para não haver tempo de tratar um por vez
      1. Colapso do Estado de Direito e do sistema político: o Executivo capturou o Congresso e agora está corroendo até a SCOTUS; os dois partidos morreram, o MAGA substituiu o Partido Republicano, e o Partido Democrata está perdido
      2. A destruição do governo federal por meio do DOGE, que é o tema desta thread
      3. A tendência de arruinar a economia por meio de tarifas e da demissão do presidente do Fed para assumir o controle do Federal Reserve, transformando os EUA, na prática, em uma economia controlada
      4. A destruição de instituições não governamentais, como escritórios de advocacia e a academia, que são centros de poder capazes de resistir a 1–3
  • Texto relacionado: declaração juramentada de denunciante sobre sinais anômalos no período em que o DOGE trabalhava no NLRB [pdf] - 16 horas atrás, 13 comentários - https://news.ycombinator.com/item?id=43755298

  • Este artigo inteiro parece uma comédia. Contas ocultas, tentativas de login a partir da Rússia, e ainda tem este trecho
    “Berulis disse ao KrebsOnSecurity que, enquanto criava um chamado de suporte na Microsoft para pedir mais informações sobre as contas do DOGE, seu acesso de administrador de rede foi restringido. Agora ele espera que parlamentares pressionem a Microsoft a fornecer mais informações sobre o que de fato aconteceu com as contas”
    Por que a Microsoft tem informações de login e de contas de uma agência governamental? Um mainframe no porão, sem Windows nem internet, seria melhor

    • Sem dúvida deve ser Office365. É difícil tocar uma burocracia sem Word ou Outlook
      Os governos da França/Alemanha estão investindo em alternativas por esse motivo: https://www.techspot.com/news/107225-france-germany-unveil-d...
    • “IP russo” dá plausível negabilidade para quem reage de forma pavloviana só de ouvir essa expressão. Mas, em uma administração em que membros influenciados pelo Kremlin parecem estar escancarados, agora nem essa negabilidade parece mais necessária
    • Tanto Azure quanto AWS parecem ter o governo como uma base de usuários bem grande. Isso levanta algumas dúvidas
    • Há precedentes de a inteligência russa agir de forma bem explícita aqui. Provavelmente era um jeito deliberado de mandar uma mensagem
      Lembrando do Guccifer 2.0, essa persona não apenas usou um endereço IP russo, mas um IP atribuído ao prédio-sede do GRU
    • É nuvem Azure
  • Edward Coristine é interessante porque em 2022 ele foi “demitido da empresa de cibersegurança Path Network sob suspeita de vazar informações internas da empresa para concorrentes” [1]. Parece o candidato ideal para ser aliciado por um serviço de inteligência estrangeiro. Além disso, também usava conta em rede social de cibercriminosos [2]
    Não entendo como alguém assim consegue continuar trabalhando perto do governo
    [1] https://en.wikipedia.org/wiki/Edward_Coristine
    [2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...

    • Como operação psicológica, é excelente. Basta criar uma conta, tentar acessar registros, não se importar se deu certo ou não, e esperar que o noticiário dos EUA gere divisão
      Um dos objetivos das operações de influência russas é enfraquecer a coesão dos EUA, como já vimos em casos em que financiaram anúncios de grupos civis de diferentes orientações
      Também é suspeito que isso tenha acontecido exatamente quando os EUA estavam negociando com a Rússia a paz na Ucrânia. Isso constrange o governo que está negociando e incentiva o atrito com a Rússia. É um sinal de que talvez não seja algo simples
      Espionagem é complexa
    • Assim como formados em Harvard contratam outros formados em Harvard, criminosos contratam outros criminosos
    • O caminho para responder “como alguém assim consegue continuar trabalhando perto do governo?” é longo, mas em linhas gerais é este
      1. A SCOTUS acabou com as restrições ao financiamento de campanha, permitindo que bilionários comprem eleições
      2. Elon Musk, a pessoa mais rica do mundo, comprou a eleição presidencial dos EUA de 2024 e se colocou como chefe de uma organização de “eficiência governamental”
      3. Elon Musk escolheu Edward Coristine e ninguém disse “não”. Quem teria se oposto já foi demitido ou afastado, e outras pessoas na White House teriam dificuldade de passar por uma checagem rigorosa de antecedentes do FBI, então o que acontece é que todos recebem autorização por simples ordem
  • A DOGE vai ser um estudo de caso interessante nos próximos anos. Um amigo recebeu contato de recrutamento para ajudar a reconstruir do zero o sistema nacional de aviação, no formato de contratado 1099 se reportando diretamente a Sean Duffy
    O recrutador apresentou como se fosse um bico para noites e fins de semana, e o valor por hora era péssimo. Quando meu amigo disse que a remuneração era muito menor do que ele recebe hoje, retrucaram que ele ganharia a reputação de ter trabalhado na DOGE

    • Essa reputação parece uma moeda muito frágil. Se a situação continuar piorando, uma futura administração pode acabar promovendo seus próprios julgamentos retaliatórios contra funcionários da DOGE
    • É uma reputação que você não vai poder colocar no currículo se quiser trabalhar de novo
    • Um ótimo estudo de caso de gente que não entende nada sobre algo chegando e dizendo “dá para economizar metade do orçamento” e depois, percebendo o erro, talvez admitir que consiga algo como 5% do que prometeu originalmente
      Fico curioso para saber quanto a DOGE acabará gastando. Espero que não sejam literalmente bilhões de dólares; ainda assim, se economizarem US$ 100 bilhões a US$ 200 bilhões, mesmo considerando custos de processos etc., o efeito líquido pode ser positivo
    • Reconstruir algo tão crítico quanto o sistema nacional de aviação com 1099s mal pagos trabalhando à noite e nos fins de semana definitivamente não é o jeito de criar um sistema robusto e resiliente a falhas. É burrice
    • Seria mais honroso contratar consultores da Big Four para fazer a mesma coisa, pagando 10 vezes mais, com 3 vezes mais reuniões e 5 vezes mais lentidão?
  • Seria uma pena se este post morresse como duplicado
    É verdade que a história foi postada duas vezes. A primeira submissão[0] é cerca de 10 horas mais antiga e tem só 3 comentários. Este post, no momento em que escrevo, tem 348 comentários. Se discussões interessantes importam, claramente este é o centro delas
    [0] https://news.ycombinator.com/item?id=43758392

    • Estranho. Normalmente o detector de duplicatas funciona muito bem. Quando eu posto algo, 9 em cada 10 vezes já existe e sou redirecionado para lá
      Por isso dá para submeter à vontade sem preocupação: ou é mesclado ao post existente, ou um novo post começa. Será que desta vez não funcionou? A URL também é a mesma. Às vezes enganam o detector de duplicatas com uma query string aleatória, mas neste caso é realmente idêntica. Estranho
    • E foi exatamente isso que aconteceu. Que loucura
  • “Berulis descobriu em 3 de março que uma das contas da DOGE havia criado um ambiente virtual opaco chamado ‘contêiner’. Ele poderia ser usado para criar e executar programas ou scripts sem expor a atividade externamente. Berulis disse que o contêiner chamou atenção porque, ao verificar com colegas, ninguém dentro da rede da NLRB jamais havia usado contêineres”
    Esse trecho dá uma sensação estranha ao ler, por vários motivos

    • Foi escrito para parecer malicioso, mas na verdade parece mais uma demonstração de ignorância técnica
  • É surpreendente que isso claramente não entre no território de traição

    • Só vira traição se alguém com poder de fato apresentar essa acusação
    • Visto de longe, Trump parece ter chegado tão perto de um poder quase absoluto que consegue simplesmente sacudir para longe até escândalos que deveriam ter consequências reais. Ainda não entendo como todo mundo sobreviveu ao escândalo do Signal
    • O que significa “território de traição”? O vazamento ou a absorção dos dados dos casos?
    • As tentativas de impeachment fracassaram, a maioria dos processos jurídicos contra Trump fracassou, a Suprema Corte o imunizou contra novas acusações, e ele foi reeleito
      Todos os freios e contrapesos foram usados, mas falharam
  • “A Rússia acessou dados dos EUA a partir de um IP russo”
    Sou só eu, ou isso soa como alguém tentando criar uma conexão com a Rússia? Por que a inteligência russa agiria de forma tão amadora? Parece até que queriam ser pegos. Cui bono?

    • Pelo padrão, eles não parecem se importar muito em ser pegos. O objetivo não é cumprir uma missão específica, e sim criar confusão. Eles gostam de provocar o outro lado a cometer erros
      Para começo de conversa, o que fariam com dados da NLRB? Talvez tenham uma ideia, talvez não. O objetivo é: “pegamos seus dados, agora fiquem inseguros”. Ser pego também ajuda nesse objetivo
    • Não é preciso se esforçar para ligar isso a alguém; o conjunto todo já é suspeito o bastante
      Pelo IP, poderia ser uma conexão móvel. Aparece como Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFon
      Por exemplo, é possível que um dos indivíduos contratados estivesse viajando pela Rússia por algum motivo e usou o próprio hotspot para testar login
      Dado o nível de incompetência revelado aqui, não seria surpreendente. É por isso que se precisa de um denunciante e por isso uma investigação começa. Agora será preciso esperar meses, anos, por cada solicitação de informação necessária, entre burocracia e disputas jurídicas, até que a investigação realmente comece direito. Extremamente frustrante
    • Só mencionaram um endereço IP; por que presumir que foi a inteligência russa? E, se fosse esse tipo de órgão, por que o suposto vazador/espião shiba-doge não teria avisado que havia um firewall com restrição regional?
      No cenário mais plausível, um dos amadores shiba-doge estava com o laptop infectado; depois que criou a conta, essas credenciais foram automaticamente sugadas por uma bot farm de língua russa, de onde a botnet iniciou alguns ataques automáticos, mas foi bloqueada pelo firewall regional
    • Não parece que quisessem ser pegos; parece que não se importavam em ser pegos
    • É só uma hipótese pessoal e posso estar completamente errado, mas isso parece ser sobre confusão, não sobre inteligência
      Para o público geral, parece bastar ligar os pontos e chegar a uma conclusão. Pessoas com algum conhecimento técnico receberam ferramentas poderosas, mas aparentemente não tiveram supervisão geral sobre quais consequências suas ações causariam
  • Por que este artigo desapareceu da primeira página do HN? Foi postado há 2 horas e tinha 649 pontos

    • Não foi marcado com flag. Shadowban? Isso existe no Hacker News?
    • Em https://news.ycombinator.com/active é o post no topo
    • Eu também estava me perguntando exatamente isso agora há pouco
    • Pode ser porque algumas startups ligadas ao Y agora estão envolvidas com a DOGE e outras atividades do governo. Vale lembrar que muita gente por trás deste site, ou entre seus líderes ideológicos, influenciou a implementação da ideologia anarcocapitalista do setor de tecnologia
    • No HN, posts podem ser marcados como algo tipo “flamebait”. Não lembro o termo exato, mas parece que isso pode ser manual e também automatizado, e moderadores também podem desligar manualmente
      Pelo risco de desencadear conversas indesejadas, o post é basicamente enviado para o vazio