Whistleblower: DOGE hat Falldaten des NLRB abgezogen
(krebsonsecurity.com)- Der Sicherheitsarchitekt des NLRB, Daniel J. Berulis, behauptet, dass Personal von Elon Musks DOGE Anfang März sensible Daten in Gigabyte-Größenordnung aus Fallakten der Behörde übertragen und dabei kurzlebige Accounts verwendet habe, die kaum Spuren hinterließen.
- Diese Accounts seien mit tenant admin-Rechten in den NLRB-Systemen erstellt worden und hätten Daten des Fallmanagements NxGen lesen, kopieren und verändern können; zudem hätten sie Berechtigungen besessen, die Log-Sichtbarkeit zu begrenzen oder Logs sogar zu löschen.
- Nachdem der ausgehende Traffic der Behörde am frühen Morgen des 4. März stark angestiegen war, wurde festgestellt, dass einer der neuen Accounts etwa 10 GB übertragen hatte; Berulis und seine Kollegen hatten jedoch keine Rechte, um nachzuvollziehen, welche Dateien wohin gegangen waren.
- Innerhalb von 15 Minuten nach Erstellung der neuen DOGE-Accounts gab es mehr als 20 Anmeldeversuche von einer russischen Internetadresse mit gültigem Kontonamen und Passwort; sie wurden durch eine Richtlinie blockiert, die Logins aus Regionen außerhalb der USA sperrt.
- Das NLRB erklärte gegenüber NPR, es habe keinen Einbruch gegeben; Berulis teilte jedoch Microsoft-Warnungen und Screenshots interner E-Mails und ging an die Öffentlichkeit, nachdem die Meldung an US-CERT gestoppt worden sei; anschließend seien auch seine Administratorrechte eingeschränkt worden.
Die Kernaussagen des NLRB-Whistleblowers
- Der Sicherheitsarchitekt des NLRB Daniel J. Berulis sandte am 14. April ein Whistleblower-Schreiben an den Senate Select Committee on Intelligence.
- Berulis’ zentrale Behauptung lautet, dass DOGE-nahe Personen vom 3. März an etwa einen Monat lang verlangt hätten, mächtige Administratorkonten im NLRB-System anzulegen, und dass diese Konten so behandelt worden seien, dass sie keine üblichen Netzwerk-Logs hinterließen.
- Das NLRB ist eine kleine unabhängige Bundesbehörde, die Beschwerden über unfaire Arbeitspraktiken untersucht und entscheidet; sie speichert sensible Daten wie vertrauliche Informationen von Beschäftigten, die Gewerkschaften gründen wollen, sowie firmeninterne Geheimnisse.
Erstellung der DOGE-Accounts und geforderte Rechte
- Laut Berulis trafen am 3. März DOGE-Mitarbeiter mit schwarzem SUV und Polizeibegleitung am NLRB-Hauptsitz im Südosten von Washington, D.C. ein.
- Sie sprachen nicht mit Berulis oder den IT-Mitarbeitern des NLRB, sondern trafen die Behördenleitung.
- Nach diesem Treffen habe der acting CIO des NLRB angewiesen, bei der Erstellung der DOGE-Accounts nicht den Standardprozess zu befolgen und keine Logs oder Aufzeichnungen über diese Accounts anzulegen, sagte Berulis aus.
- Es gab zwar bereits bestehende Rollen für Auditoren, diese waren aber so ausgelegt, dass sie weder Änderungsrechte noch Zugriff auf Subsysteme ohne Genehmigung gewährten.
- Berulis sagte, ein Vorschlag an DOGE, stattdessen diese Accounts zu verwenden, sei gar nicht zur Diskussion gestanden.
- Die neuen Accounts hätten uneingeschränkte Rechte gehabt, um Informationen in den NLRB-Datenbanken zu lesen, zu kopieren und zu verändern.
- Begrenzung der Log-Sichtbarkeit
- Verzögerung der Log-Aufbewahrung
- Umleitung von Logs an andere Orte
- Vollständiges Löschen von Logs
- Höchste Rechte, über die weder Berulis noch sein Vorgesetzter verfügten
Container und Übertragung von NxGen-Daten
- Berulis stellte fest, dass einer der DOGE-Accounts am 3. März eine undurchsichtige virtuelle Umgebung namens Container (container) erstellt habe.
- Container können genutzt werden, um Programme oder Skripte zu bauen und auszuführen, ohne ihre Aktivitäten nach außen sichtbar zu machen.
- Nach Rücksprache mit Kollegen habe es zuvor keinen Fall gegeben, in dem innerhalb des NLRB-Netzwerks Container verwendet wurden.
- Am nächsten Tag, dem 4. März, stieg zwischen 3 und 4 Uhr morgens der ausgehende Traffic der Behörde stark an.
- Nach mehreren Tagen Untersuchung kamen Berulis und seine Kollegen zu dem Schluss, dass einer der neuen Accounts rund 10 GB Daten aus dem Fallmanagementsystem NxGen des NLRB übertragen habe.
- Die NxGen-Datenbank enthält sensible Informationen über Gewerkschaften, laufende Rechtsfälle und Unternehmensgeheimnisse.
- Berulis und seine Kollegen hatten keine Netzwerkrechte, um zu prüfen, auf welche Dateien zugegriffen und welche übertragen wurden oder wohin die Daten gingen.
- Berulis teilte dem Senat mit, dass unklar sei, ob die insgesamt 10 GB bereits vor dem Transfer zusammengeführt und komprimiert worden seien und ob möglicherweise noch mehr Daten abgeflossen seien.
- Direkte externe Datenabflüsse aus der NLRB-Datenbank seien äußerst selten, daher sei dieser Anstieg sehr ungewöhnlich gewesen.
Anmeldeversuche von russischer IP und verdächtige Accounts
- Berulis und seine Kollegen stellten mehr als 20 Anmeldeversuche von der russischen Internetadresse 83.149.30.186 fest, bei denen gültige Zugangsdaten eines DOGE-Mitarbeiterkontos verwendet wurden.
- Alle diese Versuche wurden durch eine Regel blockiert, die Logins von außerhalb der USA verbietet.
- Aus dem Authentifizierungsablauf sei ersichtlich gewesen, dass die Anmeldeversuche mit korrektem Benutzernamen und Passwort erfolgt seien, erklärte Berulis.
- Besonders besorgniserregend sei gewesen, dass viele dieser Versuche innerhalb von 15 Minuten nach Anlage der Accounts durch DOGE-Ingenieure erfolgt seien.
- Einer der Microsoft-Benutzernamen, die mit der verdächtigen Aktivität verknüpft waren, lautete DogeSA_2d5c3e0446f9@nlrb.microsoft.com; Berulis geht davon aus, dass dieser Account im Cloud-System des NLRB für DOGE erstellt und später gelöscht wurde.
- Andere neue Microsoft-Cloud-Administratorkonten enthielten nicht standardisierte Benutzernamen wie Whitesox, Chicago M. und Dancehall, Jamaica R.
Fehlende Logs und externe Code-Bibliotheken
- Am 5. März dokumentierte Berulis, dass ein großer Teil der Logs zu kürzlich erstellten Netzwerkressourcen verschwunden war und dass der network watcher von Microsoft Azure auf „off“ gesetzt war, sodass keine normale Datenerfassung und Protokollierung stattfand.
- Er stellte außerdem fest, dass jemand drei externe Code-Bibliotheken von GitHub heruntergeladen hatte, die weder vom NLRB noch von dessen Auftragnehmern genutzt wurden.
- Die readme-Datei eines dieser Codepakete beschrieb einen Zweck zum Rotieren von Verbindungen über große Pools von Cloud-Internetadressen.
- Dort hieß es, dieser Adresspool werde als Proxy mit „pseudo-infinite IPs“ für Web Scraping und Brute-Forcing verwendet.
- Ein Brute-Force-Angriff ist eine Login-Attacke, bei der viele Kombinationen von Zugangsdaten automatisiert und schnell ausprobiert werden.
Gestoppte US-CERT-Meldung und Entscheidung zur Veröffentlichung
- Laut Berulis’ Whistleblower-Darstellung wurde um den 17. März herum klar, dass das NLRB nicht länger über die Ressourcen oder den Netzwerkzugriff verfügte, um die ungewöhnlichen Aktivitäten der DOGE-Accounts vollständig zu untersuchen.
- Am 24. März habe der associate CIO der Behörde zugestimmt, dass der Fall an US-CERT gemeldet werden müsse.
- US-CERT wird von der CISA im Department of Homeland Security betrieben und bietet Bundes- und Landesbehörden operative Fähigkeiten zur Reaktion auf Cybervorfälle vor Ort.
- Berulis sagte, dass ihm und dem associate CIO zwischen dem 3. und 4. April angewiesen worden sei, die Meldung an US-CERT und die Untersuchung einzustellen und weder einen offiziellen Bericht zu erstellen noch den Vorgang weiterzuverfolgen.
- Zu diesem Zeitpunkt habe er entschieden, seine Erkenntnisse öffentlich zu machen.
Dementi des NLRB und Berulis’ Unterlagen
- Der acting press secretary des NLRB, Tim Bearese, sagte NPR, DOGE habe nie Zugriff auf NLRB-Systeme angefordert oder erhalten.
- Er erklärte gegenüber NPR, die Behörde habe die Vorwürfe nach Berulis’ Meldung untersucht und sei zu dem Schluss gekommen, dass „es keine Kompromittierung der Systeme der Behörde gab“.
- Auf Fragen von KrebsOnSecurity reagierte das NLRB nicht.
- Berulis teilte E-Mail-Diskussionen innerhalb der Behörde über unerklärliche Account-Aktivitäten, die den DOGE-Accounts zugeschrieben wurden, sowie Screenshots von NLRB-Sicherheitswarnungen zu Netzwerk-Anomalien, die Microsoft in diesem Zeitraum beobachtet hatte.
Weiterer Kontext rund um das NLRB
- CNN berichtete im vergangenen Monat, Präsident Trump habe drei Mitglieder des NLRB-Gremiums entlassen, wodurch die Behörde ihre für die Arbeitsfähigkeit nötige Beschlussfähigkeit verloren habe und faktisch gelähmt worden sei.
- CNN schrieb außerdem, das NLRB sei trotz seiner Einschränkungen für wohlhabende und mächtige Personen in den USA, darunter Elon Musk, ein Ärgernis gewesen.
- Amazon und Musks SpaceX haben das NLRB wegen Beschwerden verklagt, die die Behörde in Streitfällen um Arbeitnehmerrechte und gewerkschaftliche Organisierung eingereicht hatte.
- Beide Unternehmen behaupten, bereits die Existenz des NLRB sei verfassungswidrig.
- Am 5. März wies ein US-Berufungsgericht Musks Argument einstimmig zurück, wonach die Struktur des NLRB gegen die Verfassung verstoße.
Eingeschränkter Zugriff nach dem Whistleblowing
- Berulis sagte, am 14. April, dem Tag, an dem NPR seine Vorwürfe berichtete, habe der deputy CIO des NLRB eine E-Mail verschickt, wonach die Administratorsteuerung aus allen Mitarbeiterkonten entfernt worden sei.
- Dadurch seien die IT-Mitarbeiter des NLRB laut Berulis nicht mehr in der Lage gewesen, ihre Arbeit ordnungsgemäß zu erledigen.
- In einer behördenweiten E-Mail vom 16. April soll die NLRB-Direktorin Lasharn Hamilton geschrieben haben, dass DOGE-nahe Personen um ein Treffen gebeten hätten, und die Behauptung wiederholt haben, dass es zuvor keinen „offiziellen“ Kontakt der Behörde mit DOGE-Personal gegeben habe.
- Dieselbe E-Mail informierte die Beschäftigten, dass zwei DOGE-Vertreter für mehrere Monate in Teilzeit beim NLRB eingesetzt würden.
- Berulis sagte, seine Netzwerkadministratorrechte seien eingeschränkt worden, während er gerade ein Microsoft-Support-Ticket erstellen wollte, um weitere Informationen über die DOGE-Accounts anzufordern.
- Er hofft, dass Abgeordnete Microsoft um mehr Informationen darüber bitten, was auf diesen Accounts tatsächlich geschehen ist.
Behauptete Drohungen und aktueller Stand
- Berulis’ Anwalt Andrew P. Bakaj teilte Abgeordneten mit, dass jemand am 7. April, als Berulis und das Rechtsteam die Whistleblower-Unterlagen vorbereiteten, eine Drohnachricht an Berulis’ Haustür befestigt habe.
- Dieser Nachricht habe ein mit einer Drohne aufgenommenes Foto beigelegen, das Berulis beim Gehen in seiner Nachbarschaft zeigte.
- Der Anwalt erklärte, die Drohnachricht habe ausdrücklich genau jene Offenlegung erwähnt, die bei einem Aufsichtsgremium des Senats eingereicht werden sollte.
- Wer dahintersteckte, ist unklar, doch der Anwalt vermutete lediglich, dass jemand mit Zugriff auf NLRB-Systeme beteiligt gewesen sein könnte.
- Berulis sagte, die Reaktionen von Freunden, Kollegen und der Öffentlichkeit seien überwiegend unterstützend gewesen, und er bereue seine Entscheidung zur Veröffentlichung nicht.
- Derzeit befindet sich Berulis beim NLRB in bezahltem Familienurlaub; zudem habe man ihm gesagt, DOGE-Mitarbeiter hätten die vollständige Administratorkontrolle übernommen und alle ausgesperrt, während künftig je nach Bedarf eingeschränkte Rechte vergeben würden.
- Zusätzliche Unterlagen: Berulis’ Whistleblower-Dokument
1 Kommentare
Hacker-News-Kommentare
Schon vor einer Woche gab es dazu viel Diskussion
https://news.ycombinator.com/item?id=43691142
vor 7 Tagen 1139 Punkte, 528 Kommentare
Verwandter Beitrag: Whistleblower-Erklärung[pdf] zu auffälligen Vorgängen während der Arbeit von DOGE beim NLRB - vor 16 Stunden, 13 Kommentare - https://news.ycombinator.com/item?id=43755298
Der ganze Artikel liest sich wie eine Komödie. Versteckte Accounts, Anmeldeversuche aus Russland, und dann sogar noch diese Passage
„Berulis sagte KrebsOnSecurity, dass sein Netzwerkadministratorzugang eingeschränkt wurde, als er bei Microsoft ein Support-Ticket erstellen wollte, um mehr Informationen über die DOGE-Accounts anzufordern. Nun hofft er, dass Abgeordnete bei Microsoft weitere Informationen darüber anfordern, was auf den Accounts tatsächlich passiert ist“
Warum hat Microsoft die Login- und Kontoinformationen einer Regierungsbehörde? Da wäre ein Mainframe im Keller ohne Windows und ohne Internet fast besser
Die Regierungen in Frankreich/Deutschland investieren aus genau diesem Grund in Alternativen: https://www.techspot.com/news/107225-france-germany-unveil-d...
Wenn man an Guccifer 2.0 denkt: Diese Persona nutzte nicht nur russische IP-Adressen, sondern eine IP, die dem GRU-Hauptquartier zugeordnet war
Edward Coristine ist interessant, weil er 2022 „von der Cybersicherheitsfirma Path Network entlassen wurde, nachdem ihm vorgeworfen worden war, interne Unternehmensinformationen an Wettbewerber weitergegeben zu haben“ [1]. Er wirkt wie ein idealer Kandidat für die Anwerbung durch einen ausländischen Geheimdienst. Außerdem nutzte er Social-Network-Accounts aus dem Cybercrime-Umfeld [2]
Ich verstehe wirklich nicht, wie so jemand weiterhin in die Nähe der Regierung kommen kann
[1] https://en.wikipedia.org/wiki/Edward_Coristine
[2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...
Eines der Ziele russischer Einflussoperationen ist die Schwächung des amerikanischen Zusammenhalts, was man auch daran gesehen hat, dass Anzeigen von Bürgergruppen unterschiedlichster politischer Richtungen unterstützt wurden
Dass dies außerdem genau zu dem Zeitpunkt geschah, als die USA mit Russland über Frieden in der Ukraine verhandelten, ist ebenfalls verdächtig. Denn es bringt die verhandelnde Regierung in Bedrängnis und schürt Zwietracht mit Russland. Es ist ein Signal dafür, dass die Sache vielleicht nicht so einfach ist
Geheimdienstarbeit ist komplex
DOGE wird für die nächsten Jahre wohl eine interessante Fallstudie sein. Ein Freund bekam eine Recruiting-Anfrage, ob er dabei helfen wolle, das nationale Luftfahrtsystem von Grund auf neu aufzubauen, und zwar als 1099-Vertragspartner, der direkt an Sean Duffy berichtet
Der Recruiter stellte es als Nebenjob für Abende und Wochenenden dar, und der Stundenlohn war miserabel. Als mein Freund sagte, die Bezahlung liege weit unter seinem aktuellen Verdienst, kam als Gegenargument, dass sich daraus ein Renommee ergebe, weil man bei DOGE gearbeitet habe
Ich frage mich, wie viel DOGE am Ende kosten wird. Hoffentlich nicht buchstäblich zig Milliarden Dollar, und selbst unter Einrechnung von Prozesskosten usw. könnte der Nettoeffekt positiv sein, wenn am Ende 100 bis 200 Milliarden Dollar eingespart werden
Es wäre schade, wenn dieser Beitrag als Duplikat sterben würde
Die Geschichte wurde tatsächlich zweimal eingereicht. Die erste Einreichung[0] ist etwa 10 Stunden älter und hat nur 3 Kommentare. Dieser Beitrag hat zum Zeitpunkt des Schreibens 348 Kommentare. Wenn einem interessante Diskussionen wichtig sind, dann ist klar, dass hier der Schwerpunkt liegt
[0] https://news.ycombinator.com/item?id=43758392
Dadurch kann man ganz entspannt frei einreichen, weil es entweder mit einem bestehenden Beitrag zusammengeführt wird oder einen neuen Beitrag startet. Hat es diesmal nicht funktioniert? Sogar die URL ist identisch. Manchmal kann man den Duplikat-Detektor mit einer beliebigen Query-String austricksen, aber in diesem Fall ist es wirklich exakt dasselbe. Merkwürdig
„Berulis stellte am 3. März fest, dass eines der DOGE-Konten eine intransparente virtuelle Umgebung namens ‚Container‘ erzeugt hatte. Diese kann dazu genutzt werden, Programme oder Skripte zu bauen und auszuführen, ohne Aktivitäten nach außen sichtbar zu machen. Berulis sagte, er habe bei Kollegen nachgefragt und niemand im NLRB-Netzwerk habe jemals Container verwendet, weshalb dieser Container auffiel“
Dieser Teil fühlt sich beim Lesen aus mehreren Gründen merkwürdig an
Erstaunlich, dass das nicht eindeutig in den Bereich des Landesverrats fällt
Checks and Balances wurden alle genutzt, sind aber gescheitert
„Russland greift von einer russischen IP auf US-Daten zu“
Geht das nur mir so, oder klingt das, als wolle jemand unbedingt eine Russland-Verbindung herstellen? Warum sollte ein russischer Geheimdienst so amateurhaft vorgehen? Es wirkt fast, als wolle man erwischt werden. Cui bono?
Was wollten sie mit den NLRB-Daten überhaupt anfangen? Vielleicht hatten sie eine Idee, vielleicht auch nicht. Das Ziel ist: „Wir haben eure Daten geholt, jetzt seid nervös.“ Auch erwischt zu werden hilft diesem Ziel
Wenn man sich die IP anschaut, könnte es auch eine Mobilfunkverbindung sein. Es tauchen Russia, MOW, Moscow, 144700, 55.7558, 37.6173 und MegaFon auf
Zum Beispiel könnte eine der beauftragten Personen aus irgendeinem Grund in Russland unterwegs gewesen sein und zum Testen des Logins den eigenen Hotspot benutzt haben
Beim hier sichtbar gewordenen Ausmaß an Inkompetenz wäre das nicht überraschend. Deshalb braucht es Whistleblower, und deshalb beginnt jetzt eine Untersuchung. Nun wird man für jede Informationsanfrage, die nötig ist, damit die Untersuchung richtig anlaufen kann, Monate oder Jahre auf Bürokratie und Rechtsstreitigkeiten warten müssen. Extrem frustrierend
Das plausibelste Szenario ist doch, dass auf dem Laptop eines dieser shiba-doge-Amateure Malware lief, nach dem Erstellen des Kontos die Zugangsdaten automatisch in eine russischsprachige Botfarm abgeflossen sind und dort ein Botnet ein paar automatische Angriffe gestartet hat, die dann an der Geo-Firewall gescheitert sind
Für die breite Öffentlichkeit reicht es offenbar aus, die Punkte zu verbinden und zu einem Schluss zu kommen. Es sieht so aus, als hätten Leute mit etwas technischem Wissen mächtige Werkzeuge bekommen, aber ohne eine übergeordnete Aufsicht darüber, welche Folgen ihr Handeln haben würde
Warum ist dieser Artikel von der HN-Startseite verschwunden? Er wurde vor 2 Stunden gepostet und hat schon 649 Punkte
Wegen des Risikos, unerwünschte Debatten auszulösen, wird der Beitrag faktisch ins Nichts geschickt