Người tố giác: DOGE đã rút dữ liệu vụ việc của NLRB
(krebsonsecurity.com)- Kiến trúc sư bảo mật NLRB Daniel J. Berulis cho rằng nhân sự DOGE của Elon Musk đã truyền đi hàng gigabyte dữ liệu nhạy cảm từ hồ sơ vụ việc của cơ quan vào đầu tháng 3, và sử dụng các tài khoản ngắn hạn gần như không để lại dấu vết
- Các tài khoản này được tạo với quyền tenant admin trên hệ thống NLRB, có thể đọc, sao chép và chỉnh sửa dữ liệu quản lý vụ việc NxGen, đồng thời có quyền hạn chế khả năng hiển thị log hoặc thậm chí xóa log
- Sau khi lưu lượng ra ngoài cơ quan tăng vọt vào rạng sáng 4/3, một tài khoản mới được xác định đã truyền đi khoảng 10GB, nhưng Berulis và các đồng nghiệp không có quyền xác minh những tệp nào đã đi đâu
- Trong vòng 15 phút sau khi tạo tài khoản DOGE mới, hơn 20 lần thử đăng nhập từ một địa chỉ Internet của Nga đã xảy ra bằng tên tài khoản và mật khẩu hợp lệ, nhưng bị chặn bởi chính sách chặn đăng nhập từ ngoài nước Mỹ
- NLRB nói với NPR rằng không có vụ xâm phạm nào, nhưng Berulis đã chia sẻ các cảnh báo của Microsoft và ảnh chụp màn hình email nội bộ, công khai sự việc sau khi báo cáo US-CERT bị dừng lại, và cho biết quyền quản trị của ông sau đó cũng bị hạn chế
Trọng tâm của vụ tố giác nội bộ tại NLRB
- Kiến trúc sư bảo mật NLRB Daniel J. Berulis đã gửi thư tố giác nội bộ tới Senate Select Committee on Intelligence vào ngày 14/4
- Luận điểm chính của Berulis là trong khoảng một tháng kể từ ngày 3/3, những người liên quan đến DOGE đã yêu cầu tạo các tài khoản quản trị quyền lực cao trong hệ thống NLRB, và các tài khoản đó được xử lý ngoại lệ để không để lại log mạng thông thường
- NLRB là một cơ quan liên bang độc lập quy mô nhỏ, điều tra và ra phán quyết về các khiếu nại liên quan đến hành vi lao động không công bằng; cơ quan này lưu giữ dữ liệu nhạy cảm như thông tin mật của nhân viên muốn thành lập công đoàn và thông tin độc quyền của doanh nghiệp
Việc tạo tài khoản DOGE và yêu cầu quyền hạn
- Theo Berulis, ngày 3/3, các nhân viên DOGE đi cùng SUV màu đen và đoàn hộ tống cảnh sát đã đến trụ sở NLRB ở đông nam Washington, D.C.
- Họ không nói chuyện với Berulis hay nhân viên IT của NLRB, mà gặp ban lãnh đạo cơ quan
- Berulis khai rằng sau cuộc họp, acting CIO của NLRB đã chỉ đạo không tuân theo quy trình vận hành tiêu chuẩn khi tạo tài khoản DOGE, và không tạo log hay hồ sơ cho các tài khoản của nhân viên DOGE
- Vốn đã có vai trò sẵn dành cho kiểm toán viên, nhưng cấu trúc này không cấp quyền thay đổi hoặc quyền truy cập các hệ thống con khi chưa được phê duyệt
- Berulis nói phương án đề xuất phía DOGE sử dụng các tài khoản đó thậm chí không được đưa ra thảo luận
- Các tài khoản mới được cho là có quyền không giới hạn để đọc, sao chép và chỉnh sửa thông tin trong cơ sở dữ liệu NLRB
- Hạn chế khả năng hiển thị log
- Trì hoãn lưu giữ log
- Định tuyến log sang nơi khác
- Xóa toàn bộ log
- Quyền cấp cao nhất mà cả Berulis lẫn cấp trên của ông cũng không có
Container và việc truyền dữ liệu NxGen
- Berulis xác định rằng ngày 3/3, một trong các tài khoản DOGE đã tạo một môi trường ảo không minh bạch gọi là container
- Container có thể được dùng để build và chạy chương trình hoặc script mà không để lộ hoạt động ra bên ngoài
- Qua xác nhận với đồng nghiệp, trước đó chưa từng có trường hợp sử dụng container trong mạng NLRB
- Sáng hôm sau, ngày 4/3, khoảng 3–4 giờ, lưu lượng đi ra từ cơ quan tăng mạnh
- Sau nhiều ngày điều tra, Berulis và các đồng nghiệp kết luận rằng một trong các tài khoản mới đã truyền khoảng 10GB dữ liệu từ hệ thống quản lý vụ việc NxGen của NLRB
- Cơ sở dữ liệu NxGen chứa thông tin nhạy cảm liên quan đến công đoàn, các vụ việc pháp lý đang diễn ra và bí mật doanh nghiệp
- Berulis và các đồng nghiệp không có quyền truy cập mạng để xác định những tệp nào đã bị truy cập hoặc truyền đi, hay dữ liệu đã đi đến đâu
- Berulis nói với Thượng viện rằng ông không biết dữ liệu tổng cộng là 10GB hay đã được gộp và nén trước khi truyền, và có khả năng nhiều dữ liệu hơn đã bị rò rỉ
- Ông cho biết việc dữ liệu đi trực tiếp từ cơ sở dữ liệu NLRB ra bên ngoài là rất hiếm, nên mức tăng đột biến này cực kỳ bất thường
Các lần thử đăng nhập từ IP Nga và tài khoản đáng ngờ
- Berulis và các đồng nghiệp phát hiện hơn 20 lần thử đăng nhập từ địa chỉ Internet Nga 83.149.30.186 bằng thông tin xác thực hợp lệ của tài khoản nhân viên DOGE
- Tất cả các lần thử này đều bị chặn do quy tắc cấm đăng nhập từ ngoài lãnh thổ Mỹ
- Berulis cho biết dựa trên luồng xác thực, người thử đăng nhập dường như có đúng tên người dùng và mật khẩu
- Đáng lo ngại hơn, nhiều lần thử xảy ra trong vòng 15 phút sau khi các kỹ sư DOGE tạo tài khoản
- Một trong các tên tài khoản người dùng Microsoft liên quan đến hoạt động đáng ngờ là DogeSA_2d5c3e0446f9@nlrb.microsoft.com, và Berulis cho rằng tài khoản này được tạo trong hệ thống cloud của NLRB cho mục đích DOGE rồi bị xóa
- Các tài khoản quản trị cloud Microsoft mới khác có các tên người dùng phi tiêu chuẩn như Whitesox, Chicago M. và Dancehall, Jamaica R
Log bị thiếu và thư viện mã bên ngoài
- Ngày 5/3, Berulis ghi nhận rằng một phần lớn log liên quan đến các tài nguyên mạng mới được tạo gần đây đã biến mất, và network watcher của Microsoft Azure được đặt ở trạng thái “off”, nên không thu thập và ghi dữ liệu bình thường
- Ông cũng phát hiện ai đó đã tải xuống 3 thư viện mã bên ngoài từ GitHub mà NLRB hoặc nhà thầu của cơ quan không sử dụng
- Tệp readme của một trong các gói mã mô tả mục đích xoay vòng kết nối qua một pool địa chỉ Internet cloud quy mô lớn
- Pool địa chỉ đó được mô tả là proxy “pseudo-infinite IPs” dùng cho web scraping và brute forcing
- Tấn công brute force là kiểu tấn công đăng nhập tự động thử nhanh nhiều tổ hợp thông tin xác thực
Việc dừng báo cáo US-CERT và quyết định công khai
- Theo tố giác nội bộ của Berulis, vào khoảng ngày 17/3, rõ ràng NLRB không còn đủ tài nguyên hoặc quyền truy cập mạng để điều tra đầy đủ hoạt động bất thường của các tài khoản DOGE
- Ngày 24/3, associate CIO của cơ quan đồng ý rằng sự việc cần được báo cáo lên US-CERT
- US-CERT do CISA thuộc Department of Homeland Security vận hành, cung cấp năng lực ứng phó sự cố mạng tại hiện trường cho các cơ quan liên bang và tiểu bang
- Berulis nói trong khoảng ngày 3–4/4, ông và associate CIO nhận chỉ đạo dừng báo cáo và điều tra với US-CERT, đồng thời cũng được lệnh không lập hoặc tiếp tục báo cáo chính thức
- Tại thời điểm này, Berulis quyết định công khai kết quả điều tra của mình
Phủ nhận của NLRB và tài liệu của Berulis
- Acting press secretary của NLRB Tim Bearese nói với NPR rằng DOGE chưa từng yêu cầu hoặc nhận quyền truy cập vào hệ thống NLRB
- Ông nói với NPR rằng sau khi Berulis nêu lo ngại, cơ quan đã điều tra và kết luận “không có vụ xâm phạm hệ thống cơ quan”
- NLRB không trả lời câu hỏi của KrebsOnSecurity
- Berulis đã chia sẻ các trao đổi email nội bộ của cơ quan về hoạt động tài khoản không giải thích được bị chỉ ra là tài khoản DOGE, cùng ảnh chụp màn hình cảnh báo bảo mật NLRB liên quan đến bất thường mạng mà Microsoft quan sát trong giai đoạn đó
Bối cảnh riêng quanh NLRB
- CNN tháng trước đưa tin Tổng thống Trump đã sa thải 3 thành viên hội đồng NLRB, khiến cơ quan mất số đại biểu tối thiểu cần thiết để hoạt động và trên thực tế bị tê liệt
- CNN viết rằng bất chấp các hạn chế, NLRB vẫn là vấn đề đau đầu đối với những nhân vật giàu có và quyền lực ở Mỹ, bao gồm Elon Musk
- Amazon và SpaceX của Musk đã kiện NLRB liên quan đến các khiếu nại do NLRB đưa ra trong tranh chấp về quyền của người lao động và tổ chức công đoàn
- Hai công ty lập luận rằng bản thân sự tồn tại của NLRB là vi hiến
- Ngày 5/3, tòa phúc thẩm Mỹ đã nhất trí bác lập luận từ phía Musk rằng cấu trúc của NLRB vi phạm Hiến pháp
Hạn chế truy cập sau tố giác nội bộ
- Berulis cho biết vào ngày 14/4, ngày NPR đưa tin về các cáo buộc của ông, deputy CIO của NLRB đã gửi email nói rằng quyền kiểm soát quản trị đã bị gỡ khỏi tất cả tài khoản nhân viên
- Kết quả là nhân viên IT của NLRB không còn có thể làm việc đúng cách, Berulis nói
- Một email toàn cơ quan ngày 16/4 của director NLRB Lasharn Hamilton cho biết những người liên quan đến DOGE đã yêu cầu họp, đồng thời lặp lại tuyên bố rằng cơ quan trước đó không có tiếp xúc “chính thức” với nhân sự DOGE
- Cũng trong email đó, nhân viên được thông báo rằng 2 đại diện DOGE sẽ được bố trí làm việc bán thời gian tại NLRB trong nhiều tháng
- Berulis nói quyền truy cập quản trị mạng của ông bị hạn chế khi ông đang tạo ticket hỗ trợ Microsoft để yêu cầu thêm thông tin về các tài khoản DOGE
- Ông hy vọng các nghị sĩ sẽ yêu cầu Microsoft cung cấp thêm thông tin về những gì thực sự đã xảy ra với các tài khoản
Cáo buộc đe dọa và tình trạng hiện tại
- Luật sư của Berulis, Andrew P. Bakaj, nói với các nghị sĩ rằng ngày 7/4, khi Berulis và nhóm pháp lý đang chuẩn bị tài liệu tố giác nội bộ, ai đó đã dán một mẩu giấy đe dọa lên cửa nhà Berulis
- Mẩu giấy đó được cho là có kèm ảnh chụp Berulis đang đi bộ trong khu phố, được chụp bằng drone
- Luật sư cho biết mẩu giấy đe dọa đã nhắc rõ đến chính nội dung công khai mà họ sắp nộp cho cơ quan giám sát của Thượng viện
- Không rõ ai đã làm việc này, nhưng luật sư chỉ suy đoán rằng có thể có người có quyền truy cập hệ thống NLRB liên quan
- Berulis nói phản ứng từ bạn bè, đồng nghiệp và công chúng nhìn chung là ủng hộ, và ông không hối tiếc về quyết định công khai
- Hiện Berulis đang nghỉ phép gia đình có lương tại NLRB, và cho biết các nhân viên DOGE đã nắm toàn bộ quyền kiểm soát quản trị, khóa tất cả mọi người lại, rồi sau này quyền hạn chế sẽ được cấp theo nhu cầu
- Tài liệu bổ sung: tài liệu tố giác nội bộ của Berulis
1 bình luận
Các ý kiến trên Hacker News
Một tuần trước cũng đã có nhiều thảo luận liên quan
https://news.ycombinator.com/item?id=43691142
7 ngày trước, 1139 điểm, 528 bình luận
Bài liên quan: Bản khai của người tố giác về các dấu hiệu bất thường vào thời điểm DOGE đang làm việc tại NLRB [pdf] - 16 giờ trước, 13 bình luận - https://news.ycombinator.com/item?id=43755298
Toàn bộ bài này đọc như hài kịch. Tài khoản ẩn, nỗ lực đăng nhập từ Nga, rồi còn có cả đoạn như thế này
“Berulis nói với KrebsOnSecurity rằng trong lúc đang tạo ticket hỗ trợ với Microsoft để yêu cầu thêm thông tin về các tài khoản DOGE, quyền truy cập quản trị mạng của ông đã bị hạn chế. Giờ ông hy vọng các nghị sĩ sẽ yêu cầu Microsoft cung cấp thêm thông tin về những gì thực sự đã xảy ra với các tài khoản đó”
Tại sao Microsoft lại nắm thông tin đăng nhập và tài khoản của một cơ quan chính phủ? Thà dùng một mainframe trong tầng hầm, không có Windows cũng không có Internet, còn hơn
Chính phủ Pháp/Đức đang đầu tư vào các giải pháp thay thế vì lý do này: https://www.techspot.com/news/107225-france-germany-unveil-d...
Nhớ lại Guccifer 2.0, nhân vật đó không chỉ dùng địa chỉ IP của Nga mà còn dùng IP được cấp cho tòa nhà trụ sở GRU
Edward Coristine là một nhân vật thú vị, vì năm 2022 anh ta đã “bị công ty an ninh mạng Path Network sa thải do bị nghi ngờ rò rỉ thông tin nội bộ của công ty cho đối thủ cạnh tranh” [1]. Trông như một ứng viên lý tưởng để cơ quan tình báo nước ngoài chiêu mộ. Hơn nữa, anh ta còn từng dùng tài khoản mạng xã hội tội phạm mạng [2]
Thật không hiểu làm sao một người như vậy vẫn có thể tiếp tục làm việc gần chính phủ
[1] https://en.wikipedia.org/wiki/Edward_Coristine
[2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...
Một trong các mục tiêu của chiến dịch gây ảnh hưởng của Nga là làm suy yếu sự đoàn kết của Mỹ, điều đã thấy qua các trường hợp họ hỗ trợ quảng cáo cho các nhóm dân sự thuộc nhiều khuynh hướng khác nhau
Việc chuyện này xảy ra đúng vào thời điểm Mỹ đang đàm phán với Nga về hòa bình ở Ukraine cũng đáng ngờ. Vì nó làm khó chính quyền đang đàm phán và kích động bất hòa với Nga. Đó là dấu hiệu cho thấy chuyện này có thể không hề đơn giản
Tình báo là chuyện phức tạp
DOGE sẽ là một case study thú vị trong vài năm tới. Một người bạn của tôi từng được liên hệ tuyển dụng để giúp tái xây dựng hệ thống hàng không quốc gia từ con số không, dưới dạng nhà thầu 1099 báo cáo trực tiếp cho Sean Duffy
Nhà tuyển dụng giới thiệu việc này như một việc làm thêm buổi tối và cuối tuần, còn mức lương theo giờ thì rất tệ. Khi bạn tôi nói mức trả thấp hơn nhiều so với hiện tại, họ đáp lại rằng sẽ có được danh tiếng vì từng làm cho DOGE
Cuối cùng tôi tò mò DOGE sẽ tiêu hết bao nhiêu. Hy vọng không phải đúng nghĩa là hàng chục tỷ USD; dù tính cả chi phí kiện tụng, nếu tiết kiệm được 100–200 tỷ USD thì hiệu ứng ròng vẫn có thể là dương
Sẽ rất tiếc nếu bài này bị chết vì trùng lặp
Đúng là câu chuyện đã được đăng hai lần. Bài gửi đầu tiên[0] cũ hơn khoảng 10 giờ và chỉ có 3 bình luận. Bài này tại thời điểm viết có 348 bình luận. Nếu coi trọng các thảo luận thú vị, rõ ràng đây mới là trung tâm
[0] https://news.ycombinator.com/item?id=43758392
Vì thế tôi có thể yên tâm gửi thoải mái. Hoặc nó sẽ được gộp vào bài cũ, hoặc một bài mới sẽ bắt đầu. Lần này không hoạt động sao? URL cũng giống nhau. Đôi khi người ta đánh lừa bộ phát hiện trùng lặp bằng chuỗi truy vấn ngẫu nhiên, nhưng trường hợp này thật sự giống hệt. Lạ thật
“Berulis phát hiện ngày 3/3 rằng một trong các tài khoản DOGE đã tạo một môi trường ảo mơ hồ gọi là ‘container’. Nó có thể được dùng để build và chạy chương trình hoặc script mà không để lộ hoạt động ra bên ngoài. Berulis nói rằng sau khi hỏi đồng nghiệp, anh thấy không ai trong mạng NLRB từng dùng container, nên container đó trở nên nổi bật”
Phần này khi đọc tạo cảm giác kỳ lạ vì nhiều lý do
Thật ngạc nhiên là chuyện này không rõ ràng rơi vào phạm vi phản quốc
Tất cả các cơ chế kiểm soát và cân bằng đều đã được dùng nhưng thất bại
“Nga truy cập dữ liệu Mỹ bằng IP Nga”
Chỉ mình tôi thấy vậy sao, chuyện này nghe như có ai đó đang cố tạo một mối liên hệ với Nga. Tại sao cơ quan tình báo Nga lại làm nghiệp dư đến vậy? Như thể họ muốn bị bắt. Cui bono?
Ngay từ đầu họ định làm gì với dữ liệu NLRB? Có thể có ý tưởng, cũng có thể không. Mục tiêu là “chúng tôi đã lấy dữ liệu của các anh, hãy lo lắng đi”. Việc bị bắt cũng giúp đạt mục tiêu đó
Nhìn IP thì có thể là đường truyền di động. Nó hiện ra là Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFon
Ví dụ, cũng có khả năng một trong những cá nhân được thuê vì lý do nào đó đang đi Nga và dùng hotspot của mình để thử đăng nhập
Với mức độ kém năng lực thể hiện ở đây thì cũng không đáng ngạc nhiên. Vì thế mới cần người tố giác, và một cuộc điều tra được khởi động. Giờ chúng ta sẽ phải chờ hàng tháng, hàng năm qua quan liêu và tranh chấp pháp lý cho từng yêu cầu thông tin cần thiết trước khi cuộc điều tra thật sự bắt đầu. Cực kỳ bực bội
Xét khả năng hợp lý nhất, laptop của một trong các tay nghiệp dư shiba-doge đã nhiễm virus, sau khi tạo tài khoản thì thông tin xác thực đó tự động bị hút vào một botfarm nói tiếng Nga, rồi từ đó botnet tự động phát động vài đợt tấn công nhưng bị tường lửa khu vực chặn lại
Với người bình thường, chỉ cần nối các điểm lại với nhau để đi đến kết luận là đủ. Có vẻ như những người biết kỹ thuật ở mức nào đó đã được trao các công cụ mạnh, nhưng không có sự giám sát tổng thể về hậu quả mà hành động của họ sẽ gây ra
Vì sao bài này biến mất khỏi trang nhất HN? Nó mới được đăng 2 giờ trước và đã có tới 649 điểm
Vì nguy cơ châm ngòi cho những cuộc trò chuyện không mong muốn, bài viết về cơ bản bị đẩy vào hư không