Пристрій Doge Engineer піддався атаці новітнього шкідливого ПЗ

Нещодавній аналіз публічних журналів “викрадачів” показав, що програміст у Департаменті ефективності уряду (DOGE) та підрядник для CISA стали жертвами витоку облікових даних через шкідливе програмне забезпечення, що викрадає інформацію. Цей інцидент підкреслює постійні проблеми з операційною безпекою у критично важливих федеральних системах.

Передумови: Роль та вразливість

Кайл Шутт — програміст середньої ланки, який отримав підвищений доступ до основної системи фінансового управління Федерального агентства з управління надзвичайними ситуаціями (FEMA) на початку 2025 року. Працюючи в DOGE, він розробляє бекенд-сервіси для робочих процесів фінансування допомоги при катастрофах. Водночас, у ролі підрядника для CISA, він також проводить оцінки вразливостей і контролює налаштування безпеки на цивільних федеральних мережах та критичній інфраструктурі.

Виявлення витоків даних

• Дослідник Міка Лі виявив щонайменше чотири різні витоки облікових даних, які датуються 2023 роком, у публічних журналах шкідливого програмного забезпечення.
• Витоки містили дані з Gmail, урядових VPN та внутрішніх систем зберігання коду.
• Сімейства “викрадачів” на зразок RedLine, Raccoon і Vidar відомі своїм використанням ін’єкцій DLL та API-хуків для збору куків браузера, збережених паролів та SSH-ключів.

Дані з Have I Been Pwned свідчать, що основна адреса Gmail інженера була зафіксована в 51 витоку, включаючи компрометацію Adobe 2013 року (3 мільйони записів), витік LinkedIn 2016 року (164 мільйони записів) та нещодавні витоки з Gravatar (167 мільйонів) і The Post Millennial.

Технічні аспекти: Механізми шкідливого програмного забезпечення для викрадення інформації

Сучасні викрадачі інформації використовують багатоступеневий підхід:

• Початковий доступ: Доставляється через троянські інсталяційні файли або цільові фішингові вкладення, що експлуатують вразливість CVE-2024-XXXX (вразливість COM-інтерфейсу Windows).
• Стійкість: Використовує заплановані завдання або ключі реєстру Run з випадковими значеннями для перезапуску після перезавантаження.
• Збір облікових даних: Інжектує виклики Win32 API (CryptUnprotectData) та аналізує SQLite бази даних браузера для витягування збережених логінів. Також використовує техніки дампінгу пам’яті для захоплення токенів з Discord, Slack та корпоративних VPN-клієнтів.
• Екстракція: Дані упаковуються в AES-256 зашифровані об’єкти та надсилаються на сервери C2, часто маскуючись під Telegram-ботів, щоб уникнути фільтрації мережі.
• Публічне розкриття: Зловмисники іноді публікують агреговані журнали на підпільних форумах і сайтах, що дозволяє вільний доступ до викрадених облікових даних.

Можливий вплив на безпеку федеральної інфраструктури

Якщо Шутт використовував однакові облікові дані для особистих і робочих систем, зловмисники могли б отримати підвищені привілеї в платформі управління грантами FEMA та порталах звітності про вразливості CISA. Компрометовані SSH-ключі або API-токени можуть надати можливості для бічного руху в середовищах AWS та Azure, де зберігаються чутливі дані. Брифінг Mandiant у квітні 2025 року попереджав, що державні актори дедалі більше націлюються на інженерів у сфері постачання, щоб отримати доступ до ширших урядових мереж.

Стратегії пом’якшення та рекомендації

Експерти закликають до термінових дій для запобігання подібним витокам:

• Впровадження багатофакторної аутентифікації: Використання апаратних ключів FIDO2 для всіх облікових записів з високими привілеями.
• Виявлення та реагування на загрози (EDR): Впровадження правил YARA, адаптованих до типових підписів коду викрадачів (наприклад, артефакти пакера UPX, підозрілі API-хуки).
• Гігієна облікових даних: Проведення обов’язкової ротації паролів, інтеграція ротаційних секретів через рішення для сховищ (HashiCorp Vault, AWS Secrets Manager) і відключення застарілих протоколів аутентифікації.
• Сегментація мережі: Ізоляція середовищ розробки, тестування та виробництва. Впровадження принципів Zero Trust для трафіку між підмережами.
• Безперервний моніторинг: Використання програми CISA Безперервна діагностика та пом’якшення (CDM) для виявлення аномальних патернів входу та несанкціонованих змін конфігурації.

Коментар експерта

“Викрадачі інформації представляють постійну загрозу, оскільки вони використовують поведінку користувачів та загальні помилки в налаштуваннях,” говорить доктор Кейтлін ДеЛюсія, старший аналітик Cyber Threat Alliance. “Федеральні агенції повинні впроваджувати стратегію глибокого захисту, поєднуючи потужні засоби захисту кінцевих точок з суворими операційними процесами.”

Ширші наслідки та наступні кроки

Цей інцидент відбувається на фоні критики практик операційної безпеки DOGE — критики вказують на можливість редагування веб-сайту DOGE та надмірно широкі привілеї доступу до даних. CISA та DHS поки що не надали офіційних коментарів. Тим часом, федеральні CIO переглядають рамки управління ідентифікацією та доступом, щоб закрити прогалини, виявлені в кампаніях крадіжки облікових даних.