İhbarcı: DOGE, NLRB dava verilerini dışarı aktardı
(krebsonsecurity.com)- NLRB güvenlik mimarı Daniel J. Berulis, Elon Musk’ın DOGE personelinin mart başında kurumun dava dosyalarından gigabaytlarca hassas veriyi aktardığını ve neredeyse hiç iz bırakmayan kısa ömürlü hesaplar kullandığını iddia ediyor
- Söz konusu hesabın NLRB sistemlerinde tenant admin yetkisiyle oluşturulduğu; NxGen dava yönetimi verilerini okuyup kopyalayabildiği ve değiştirebildiği, ayrıca günlük görünürlüğünü sınırlama ya da günlükleri silme gibi yetkilere sahip olduğu öne sürülüyor
- 4 Mart sabaha karşı kurum dışına giden trafikte büyük bir artışın ardından yeni hesaplardan birinin yaklaşık 10GB veri aktardığı tespit edildi; ancak Berulis ve meslektaşlarının hangi dosyaların nereye gittiğini doğrulama yetkisi yoktu
- Yeni DOGE hesabı oluşturulduktan sonraki 15 dakika içinde, Rusya’daki bir internet adresinden geçerli hesap adı ve parola kullanılarak 20’den fazla oturum açma girişimi yapıldı; bunlar ABD dışı konumlardan oturum açmayı engelleyen politika sayesinde durduruldu
- NLRB, NPR’ye herhangi bir ihlal olmadığını söyledi; ancak Berulis Microsoft uyarılarını ve kurum içi e-posta ekran görüntülerini paylaştı, US-CERT’e raporlamanın durdurulmasının ardından kamuoyuna açıklama yaptığını ve sonrasında yönetici yetkilerinin de kısıtlandığını belirtti
NLRB ihbarının özü
- NLRB güvenlik mimarı Daniel J. Berulis, 14 Nisan’da Senate Select Committee on Intelligence’a bir ihbar mektubu gönderdi
- Berulis’in temel iddiası, 3 Mart’tan itibaren yaklaşık bir ay boyunca DOGE bağlantılı kişilerin NLRB sistemlerinde güçlü yönetici hesapları oluşturulmasını talep ettiği ve bu hesapların olağan ağ günlüklerini bırakmaması için istisna kapsamına alındığı yönünde
- NLRB, haksız iş uygulamalarına ilişkin şikâyetleri soruşturan ve karara bağlayan küçük, bağımsız bir federal kurum; sendikalaşmak isteyen çalışanlara ait gizli bilgiler ve şirketlere ait özel bilgiler gibi hassas verileri saklıyor
DOGE hesabı oluşturulması ve yetki talepleri
- Berulis’e göre 3 Mart’ta, siyah SUV’lar ve polis eskortu eşliğindeki DOGE çalışanları Washington D.C.’nin güneydoğusundaki NLRB genel merkezine geldi
- Bu kişiler Berulis ya da NLRB BT çalışanlarıyla konuşmadan kurum yönetimiyle görüştü
- Berulis’in ifadesine göre toplantının ardından NLRB’nin acting CIO’su, DOGE hesapları oluşturulurken standart işletim prosedürlerinin izlenmemesini ve DOGE çalışanlarına ait hesaplar için günlük ya da kayıt oluşturulmamasını talimat verdi
- Denetçilerin kullanabileceği mevcut roller vardı; ancak bu yapı değişiklik yapma yetkisi ya da onaysız alt sistem erişimi vermiyordu
- Berulis, DOGE tarafına bu hesapları kullanmalarını önermenin gündeme bile gelmediğini söylüyor
- Yeni hesapların NLRB veritabanı bilgilerini okuma, kopyalama ve değiştirme konusunda sınırsız yetkilere sahip olduğu belirtiliyor
- Günlük görünürlüğünü sınırlama
- Günlük saklamayı geciktirme
- Günlükleri başka bir yere yönlendirme
- Günlüklerin tamamını silme
- Berulis ve amirinin bile sahip olmadığı en üst düzey yetkiler
Konteyner ve NxGen veri aktarımı
- Berulis, 3 Mart’ta DOGE hesaplarından birinin container adı verilen opak bir sanal ortam oluşturduğunu tespit etti
- Konteyner, programların ya da betiklerin dışarıya etkinlik göstermeden derlenip çalıştırılması için kullanılabilir
- Meslektaşlarının doğrulamasına göre NLRB ağı içinde daha önce konteyner kullanıldığına dair bir örnek yoktu
- Ertesi gün, 4 Mart sabahı 03.00-04.00 civarında kurumdan çıkan trafikte büyük bir artış oldu
- Berulis ve meslektaşları birkaç gün süren incelemenin sonunda, yeni hesaplardan birinin NLRB’nin NxGen dava yönetim sisteminden yaklaşık 10GB veri aktardığı sonucuna vardı
- NxGen veritabanı sendikalar, devam eden hukuki davalar ve şirket sırlarıyla ilgili hassas bilgiler içeriyor
- Berulis ve meslektaşlarının hangi dosyalara erişildiğini ya da hangi dosyaların aktarıldığını, verilerin nereye gittiğini doğrulayacak ağ erişim yetkileri yoktu
- Berulis, Senato’ya verinin toplamda 10GB olup olmadığını, aktarım öncesinde birleştirilip sıkıştırılıp sıkıştırılmadığını bilmediğini ve daha fazla verinin sızmış olabileceğini iletti
- NLRB veritabanından verilerin doğrudan dışarı çıkması çok nadir olduğundan, bu tür bir artışın son derece olağandışı olduğu belirtiliyor
Rusya IP’sinden oturum açma girişimleri ve şüpheli hesap
- Berulis ve meslektaşları, Rusya’daki 83.149.30.186 internet adresinden DOGE çalışan hesabına ait geçerli kimlik bilgileri kullanılarak 20’den fazla oturum açma girişimi yapıldığını tespit etti
- Bu girişimlerin tamamı, ABD dışından oturum açmayı yasaklayan kural nedeniyle engellendi
- Berulis, kimlik doğrulama akışına göre oturum açmayı deneyen kişinin doğru kullanıcı adı ve parolaya sahip göründüğünü söyledi
- Özellikle çok sayıda girişimin, DOGE mühendislerinin hesapları oluşturmasından sonraki 15 dakika içinde gerçekleşmesi daha büyük endişe yarattı
- Şüpheli faaliyetle bağlantılı Microsoft kullanıcı hesap adlarından biri DogeSA_2d5c3e0446f9@nlrb.microsoft.com idi; Berulis bu hesabın NLRB bulut sisteminde DOGE kullanımı için oluşturulup silinmiş bir yapıda olduğunu düşünüyor
- Diğer yeni Microsoft bulut yöneticisi hesaplarında Whitesox, Chicago M. ve Dancehall, Jamaica R gibi standart dışı kullanıcı adları yer alıyordu
Eksik günlükler ve harici kod kütüphaneleri
- 5 Mart’ta Berulis, yakın zamanda oluşturulan ağ kaynaklarıyla ilgili günlüklerin büyük bir bölümünün kaybolduğunu ve Microsoft Azure’daki network watcher’ın “off” durumuna ayarlanarak normal veri toplama ve kayıt işlemlerini yapmadığını belgeledi
- Ayrıca birilerinin, NLRB ya da yüklenicilerinin kullanmadığı üç harici kod kütüphanesini GitHub’dan indirdiği de keşfedildi
- Kod paketlerinden birinin readme dosyası, büyük bulut internet adresi havuzları üzerinden bağlantıları döndürme amacını açıklıyordu
- Bu adres havuzunun web scraping ve brute forcing için “pseudo-infinite IPs” proxy’si olarak kullanıldığı belirtiliyordu
- Brute force saldırısı, birden fazla kimlik bilgisi kombinasyonunun hızlı ve otomatik biçimde denendiği bir oturum açma saldırısıdır
US-CERT raporlamasının durdurulması ve kamuoyuna açıklama kararı
- Berulis’in ihbarına göre 17 Mart civarında, NLRB’nin DOGE hesaplarındaki olağandışı faaliyetleri tam olarak soruşturacak kaynaklara ya da ağ erişim yetkisine artık sahip olmadığı netleşti
- 24 Mart’ta kurumun associate CIO’su, bu olayın US-CERT’e raporlanması gerektiği konusunda mutabık kaldı
- US-CERT, Department of Homeland Security bünyesindeki CISA tarafından işletiliyor ve federal ile eyalet kurumlarına sahada siber olay müdahale kapasitesi sağlıyor
- Berulis, 3-4 Nisan arasında kendisine ve associate CIO’ya US-CERT raporlamasını ve soruşturmasını durdurma talimatı verildiğini; ayrıca resmi rapor oluşturmamaları ya da süreci ilerletmemeleri yönünde de talimat aldıklarını söylüyor
- Bu noktada Berulis, araştırma bulgularını kamuoyuna açıklamaya karar verdi
NLRB’nin inkârı ve Berulis’in materyalleri
- NLRB acting press secretary Tim Bearese, NPR’ye DOGE’nin NLRB sistemlerine erişim talep etmediğini ya da almadığını söyledi
- Bearese, Berulis’in endişelerini dile getirmesinin ardından kurumun konuyu araştırdığını ve “kurum sistemlerinde ihlal olmadığı” sonucuna vardığını NPR’ye belirtti
- NLRB, KrebsOnSecurity’nin sorularına yanıt vermedi
- Berulis, DOGE hesabı olarak işaretlenen açıklanamayan hesap faaliyetlerine dair kurum içi e-posta yazışmalarını ve Microsoft’un o dönemde gözlemlediği ağ anomalilerine ilişkin NLRB güvenlik uyarılarının ekran görüntülerini paylaştı
NLRB etrafındaki ayrı bağlam
- CNN geçen ay, Başkan Trump’ın NLRB kurulunun 3 üyesini görevden almasıyla kurumun işlevini yerine getirmek için gereken çoğunluğu kaybettiğini ve fiilen felç olduğunu bildirdi
- CNN, kısıtlamalara rağmen NLRB’nin Elon Musk dâhil ABD’deki varlıklı ve güçlü kişiler için baş ağrısı yarattığını yazdı
- Amazon ve Musk’ın SpaceX şirketi, işçi hakları ve sendika örgütlenmesiyle ilgili uyuşmazlıklarda NLRB’nin açtığı şikâyetler nedeniyle NLRB’ye karşı davalar açmıştı
- İki şirket, NLRB’nin varlığının başlı başına anayasaya aykırı olduğunu savunuyor
- 5 Mart’ta bir ABD temyiz mahkemesi, Musk tarafının NLRB yapısının anayasayı ihlal ettiği yönündeki iddiasını oybirliğiyle reddetti
İhbar sonrası erişim kısıtlaması
- Berulis, NPR’nin 14 Nisan’da iddialarını haberleştirdiği gün NLRB deputy CIO’sunun, tüm çalışan hesaplarından yönetici kontrollerinin kaldırıldığını bildiren bir e-posta gönderdiğini söylüyor
- Berulis’e göre bunun sonucunda NLRB BT çalışanları artık işlerini düzgün şekilde yapamaz hale geldi
- 16 Nisan’da NLRB director Lasharn Hamilton tarafından tüm kuruma gönderilen e-postada, DOGE yetkililerinin toplantı talep ettiği ve kurumun daha önce DOGE personeliyle “resmi” teması olmadığı iddiasının tekrarlandığı belirtiliyor
- Aynı e-posta, çalışanlara iki DOGE temsilcisinin birkaç ay boyunca NLRB’de yarı zamanlı görevlendirileceğini bildirdi
- Berulis, DOGE hesapları hakkında ek bilgi istemek için Microsoft destek bileti oluşturduğu sırada ağ yöneticisi erişim yetkisinin kısıtlandığını söylüyor
- Berulis, milletvekillerinin Microsoft’tan hesaplarda gerçekte ne olduğuna dair daha fazla bilgi talep etmesini umuyor
Tehdit iddiası ve mevcut durum
- Berulis’in avukatı Andrew P. Bakaj, 7 Nisan’da Berulis ve hukuk ekibi ihbar belgelerini hazırlarken birinin Berulis’in evinin kapısına tehdit notu astığını milletvekillerine iletti
- Söz konusu notta, Berulis’in mahallede yürürken drone ile çekilmiş fotoğrafının yer aldığı belirtiliyor
- Avukat, tehdit notunun Senato denetim makamına sunulmak üzere hazırlanan açıklamaların tam da içeriğine açıkça atıfta bulunduğunu söyledi
- Bunu kimin yaptığı bilinmiyor; ancak avukat yalnızca NLRB sistemlerine erişimi olan birinin bağlantılı olabileceğini tahmin ediyor
- Berulis, arkadaşlarından, meslektaşlarından ve kamuoyundan gelen tepkilerin genel olarak destekleyici olduğunu ve açıklama yapma kararından pişman olmadığını söylüyor
- Berulis şu anda NLRB’de ücretli aile izninde; DOGE çalışanlarının tüm yönetici kontrollerini devralıp herkesi kilitlediğini ve gelecekte ihtiyaç halinde sınırlı yetkilerin atanacağını söylediğini belirtiyor
- Ek materyal: Berulis’in ihbar belgesi
1 yorum
Hacker News yorumları
Bir hafta önce de konuyla ilgili epey tartışma vardı
https://news.ycombinator.com/item?id=43691142
7 gün önce 1139 puan, 528 yorum
İlgili yazı: DOGE’nin NLRB’de çalıştığı dönemdeki anormalliklere dair ihbarcı beyanı[pdf] - 16 saat önce, 13 yorum - https://news.ycombinator.com/item?id=43755298
Bu makalenin tamamı komedi gibi okunuyor. Gizli hesaplar, Rusya’dan oturum açma girişimleri ve bir de şu pasaj var
“Berulis, KrebsOnSecurity’ye, DOGE hesapları hakkında daha fazla bilgi istemek için Microsoft’ta bir destek bileti açarken ağ yöneticisi erişim yetkilerinin kısıtlandığını söyledi. Şimdi milletvekillerinin Microsoft’tan hesapta gerçekte neler olduğuna dair daha fazla bilgi talep etmesini umuyor”
Microsoft neden bir devlet kurumunun oturum açma ve hesap bilgilerine sahip? Bodrumda Windows’u da interneti de olmayan bir mainframe olsa daha iyi olurdu
Fransa/Almanya hükümetleri bu nedenle alternatiflere yatırım yapıyor: https://www.techspot.com/news/107225-france-germany-unveil-d...
Guccifer 2.0’ı düşünürsek, o persona yalnızca Rus IP adresi kullanmakla kalmadı, GRU karargâh binasına tahsis edilmiş bir IP kullandı
Edward Coristine’in 2022’de “şirket içi bilgileri bir rakibe sızdırdığı iddiasıyla siber güvenlik şirketi Path Network’ten kovulmuş” biri olması ilginç [1]. Yabancı bir istihbarat kurumunun devşirmesi için ideal aday gibi görünüyor. Üstelik siber suç sosyal ağ hesabı da kullanmış [2]
Böyle birinin nasıl hâlâ hükümetin yakınında çalışabildiğini hiç anlamıyorum
[1] https://en.wikipedia.org/wiki/Edward_Coristine
[2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...
Rus etki operasyonlarının hedeflerinden biri ABD’nin birlik duygusunu zayıflatmak; farklı eğilimlerden sivil toplum gruplarının reklamlarını destekledikleri örneklerde de bunu gördük
Ayrıca ABD’nin Ukrayna barışı konusunda Rusya’yla müzakere ettiği tam o sırada bunun yaşanması da şüpheli. Çünkü müzakere eden yönetimi zor durumda bırakıyor ve Rusya’yla anlaşmazlığı körüklüyor. Bunun basit bir mesele olmayabileceğine dair bir işaret
İstihbarat karmaşıktır
DOGE, önümüzdeki birkaç yıl boyunca ilginç bir vaka çalışması olacak. Bir arkadaşım, ulusal havacılık sistemini sıfırdan yeniden inşa etmeye yardım etmesi için işe alım mesajı aldı; bu, doğrudan Sean Duffy’ye rapor veren 1099 sözleşmeli çalışan şeklindeydi.
İşe alımcı bunu akşamları ve hafta sonları yapılacak bir yan iş gibi sundu ve saat ücreti berbattı. Arkadaşım ücretin şu an aldığından çok daha düşük olduğunu söyleyince, DOGE’de çalışmış olmanın getireceği itibar ile karşılık verdi.
Sonunda DOGE’nin ne kadar harcayacağını merak ediyorum. Umarım kelimenin tam anlamıyla milyarlarca dolar olmaz; dava masrafları vb. hesaba katıldığında bile 100-200 milyar dolar tasarruf ederlerse net etki pozitif olabilir.
Bu yazı mükerrer diye öldürülürse yazık olur.
Evet, hikâye iki kez gönderildi. İlk gönderi[0] yaklaşık 10 saat daha eski ve sadece 3 yorumu var. Bu yazıda ise yazıldığı sırada 348 yorum var. İlginç tartışmaları önemsiyorsak, açıkça merkez burası.
[0] https://news.ycombinator.com/item?id=43758392
Bu yüzden rahatça gönderi yapabiliyorum. Ya mevcut yazıya ekleniyor ya da yeni bir yazı başlıyor. Bu kez çalışmadı mı? URL de aynı. Bazen rastgele sorgu dizeleriyle mükerrerlik algılayıcısını kandırıyorlar ama bu durumda gerçekten aynı. Tuhaf.
“Berulis, 3 Mart’ta DOGE hesaplarından birinin ‘container’ adlı opak bir sanal ortam oluşturduğunu fark etti. Bu, dışarıya etkinlik göstermeden program veya script derleyip çalıştırmak için kullanılabilir. Berulis, meslektaşlarına danıştığında NLRB ağı içinde daha önce container kullanan kimse olmadığını, bu yüzden container’ın göze çarptığını söyledi.”
Bu bölüm birkaç nedenle okurken garip hissettiriyor.
Bunun açıkça ihanet alanına girmiyor olması şaşırtıcı.
Denge ve denetim mekanizmalarının hepsi kullanıldı ama başarısız oldu.
“Rusya, Rus IP’siyle ABD verilerine erişti.”
Bana mı öyle geliyor, bu sanki birinin Rusya bağlantısı yaratmaya çalışması gibi duyuluyor. Rus istihbaratı neden bu kadar amatörce davransın? Sanki yakalanmak istiyorlar. Cui bono?
Zaten NLRB verileriyle ne yapacaklar? Bir fikirleri olabilir de olmayabilir de. Hedef “verilerini aldık, huzursuz ol” demek. Yakalanmak da bu hedefe yardımcı olur.
IP’ye bakınca mobil hat olabilir. Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFon olarak görünüyor.
Örneğin sözleşmeli kişilerden biri herhangi bir nedenle Rusya’da seyahatteydi ve oturum açmayı test etmek için kendi hotspot’unu kullanmış olabilir.
Burada ortaya çıkan beceriksizlik düzeyine bakınca şaşırtıcı olmaz. Bu yüzden ihbarcıya ihtiyaç var ve soruşturma başlıyor. Şimdi soruşturmanın doğru düzgün başlayabilmesi için gereken her bilgi talebinde bürokrasi ve hukuki çekişmeler yüzünden aylar, yıllar beklemek gerekecek. Aşırı sinir bozucu.
En olası senaryoya bakarsak, shiba-doge amatörlerinden birinin dizüstü bilgisayarına virüs bulaşmıştı; hesabı oluşturduktan sonra kimlik bilgileri otomatik olarak Rusça konuşan bir bot çiftliğine çekildi ve orada botnet birkaç otomatik saldırı başlattı ama bölgesel güvenlik duvarına takıldı.
Sıradan insanlar için noktaları birleştirip sonuca varmak yeterli görünüyor. Belli düzeyde teknik bilgisi olan kişilere güçlü araçlar verilmiş, ancak eylemlerinin ne sonuçlar doğuracağı konusunda kapsamlı bir denetime tabi tutulmamış gibiler.
Bu makale HN ana sayfasından neden kayboldu? 2 saat önce gönderildi ve 649 puan almıştı.
İstenmeyen bir konuşmayı tetikleme riski nedeniyle yazı fiilen boşluğa gönderiliyor.