Урядовий інформатор у сфері інформаційних технологій викрив порушення системи, пов’язане з вторгненням групи DOGE та Муска.

Скандальне викриття інформатора, зроблене IT-фахівцем державного сектору, потрясло систему нагляду за кібербезпекою. Даніел Беруліс, досвідчений архітектор DevSecOps у Національній раді з трудових відносин (NLRB), відкрив серію тривожних дій, пов’язаних із Департаментом ефективності уряду (DOGE). Інформатор стверджує, що необмежений доступ DOGE до чутливих систем агентств не лише перевищував операційні вимоги, а й потенційно відкривав можливість для значного витоку даних з міжнародними наслідками.

Огляд інциденту

У своїй присяжній заяві, надісланій до Спеціального комітету Сенату з розвідки та Офісу спеціального прокурора, Беруліс детально описав, як новостворені облікові записи для персоналу DOGE були використані майже одразу після активації. У його звіті вказано, що облікові записи DOGE використовувалися для входу з IP-адреси, розташованої в Приморському краї, Росія. Розслідування виявило понад 20 спроб входу протягом 15 хвилин після створення облікового запису. Беруліс також зазначив, що було ексфільтровано близько 10 ГБ даних, хоча точні файли, які були видалені, залишаються непідтвердженими. Ключові скріншоти та докази були надані для підтвердження цих заяв.

Технічний аналіз і розгляд

• Необмежений доступ: Персонал DOGE отримав “облікові записи власника орендатора” в Microsoft Azure. Ці облікові записи мають практично необмежені привілеї для читання, копіювання та зміни даних, що обминає стандартні операційні протоколи.
• Aномалії входу: Телеметричні дані інформатора вказують на те, що як тільки облікові записи користувачів DOGE були активовані, аутентифікація на основі паролів була скомпрометована. Це дозволило спроби входу з іноземних IP-адрес, що викликало тривогу через вбудовані політики заборони входу з-за кордону.
• Зміни конфігурації: Несподівані оновлення в умовних політиках доступу та відключені контролі в Microsoft Purview дозволили потенційно обійти заходи багатофакторної аутентифікації. Такі зміни, виконані без затверджених контролів змін або документації, представляють серйозне порушення стандартних практик кібербезпеки.
• Непрозорі операції: Створення ізольованих контейнерів, здатних виконувати програми без традиційного ведення журналу або моніторингу, ще більше ускладнює діяльність підозрюваних зловмисників, ускладнюючи судово-слідчі розслідування.

Технічні експерти зазначають, що ці помилки виявляють фундаментальний недолік у розподілі обов’язків — критично важливу опору безпечних IT-операцій, особливо в державних мережах, яким довірено чутливі дані.

Наслідки для кібербезпеки

З точки зору кібербезпеки, наслідки цього витоку є глибокими. NLRB зберігає величезні обсяги конфіденційних даних, включаючи особисту інформацію (PII) щодо діяльності профспілок, поточних судових справ та приватних корпоративних даних, зібраних під час судового розгляду. Передбачуваний витік даних, посилений внутрішніми конфігураційними помилками, становить суттєву загрозу як для національної безпеки, так і для особистої конфіденційності.

Команди реагування на інциденти висловили занепокоєння щодо безпеки покладання на застарілі протоколи аутентифікації та вроджених ризиків надання надмірних привілеїв. Цей випадок підкреслює важливість моніторингу в реальному часі та суворих контролів доступу, а також необхідність надійних аудиторських слідів для своєчасного виявлення та пом’якшення загроз зсередини.

Операційні аномалії та вплив інсайдерів

У декларації Беруліса детально описані кілька операційних аномалій, які вказують на координовані зусилля з метою приховування витоку. Наприклад, IT-персонал отримав вказівку надати DOGE незафіксований доступ без створення офіційних робочих записів. Заступнику начальника інформаційного управління (ACIO) було спеціально наказано обійти стандартні процедури щодо створення та відстеження облікових записів. Такі заходи фактично очистили цифровий слід діяльності DOGE в NLRB, створивши сліпі зони в можливостях моніторингу системи.

Ще один тривожний звіт стосується зміни умовних політик доступу та деактивації ключових механізмів оповіщення в мережі. Ці зміни, здійснені без документально оформлених погоджень, свідчать про потенційне приховування, ймовірно, з вищих ешелонів організації. Більш того, вказівки про те, щоб не повідомляти про випадок до US-CERT, піднімають серйозні питання про внутрішнє придушення інцидентів у сфері кібербезпеки.

Юридичні та управлінські реакції

Після викриття, конгресмен США Джеррі Конноллі (Демократ, Вірджинія) офіційно звернувся з проханням до інспекторів генеральних управлінь NLRB та Міністерства праці (DOL) про проведення розслідування. У листі представника підкреслюються побоювання щодо потенційних технологічних правопорушень та незаконних дій. У зв’язку з лідерством Ілона Маска в DOGE та його компаніями, які зазнали дій з боку регуляторних органів, таких як NLRB і DOL, питання конфлікту інтересів загострилися.

Варто зазначити, що спори щодо доступу DOGE до державних систем мають тривалу юридичну історію. Нещодавнє рішення апеляційного суду США підтвердило право DOGE на доступ до чутливих персональних даних з Міністерства освіти США та Управління з управління персоналом (OPM), скасувавши попередні рішення та ускладнивши правову ситуацію навколо державних IT та конфіденційності даних.

Думки експертів та майбутні напрямки

Експерти галузі висловили думку, що ця ситуація вимагає кардинального перегляду протоколів контролю доступу та моніторингу в IT-інфраструктурах держави. Консультанти з кібербезпеки стверджують, що сувора сегрегація та використання розвинутої поведінкової аналітики є необхідними для запобігання подібним витокам. Вони також виступають за посилення відновлювальних заходів, включаючи регулярні вправи червоних і синіх команд, щоб перевірити стійкість державних заходів безпеки проти зовнішніх та внутрішніх загроз.

У майбутньому, технологічні лідери закликають до впровадження архітектур Zero Trust у всіх федеральних агентствах. Впровадження штучного інтелекту та машинного навчання може забезпечити виявлення аномалій в реальному часі, гарантуючи, що спроби несанкціонованого доступу швидко виявляються та нейтралізуються. Нещодавній інцидент вже стимулював обговорення щодо оновлення інструментів кібербезпеки держави, включно з просунутим веденням журналу, динамічним аналізом та всебічними аудиторськими рамками, щоб захистити критичну інфраструктуру.

Висновок

Заява інформатора Даніела Беруліса відкриває тривожну взаємодію між технічним управлінням, несанкціонованим високорівневим доступом та потенційною співучастю інсайдерів. Хоча NLRB заперечує факт витоку та стверджує, що внутрішні розслідування не виявили несанкціонованого доступу, технічні докази, що надаються, вимагають подальшого розгляду.

Ця ситуація підкреслює, що в епоху, коли державні агентства все більше покладаються на хмарні системи, такі як Microsoft Azure, ретельний нагляд за доступом і автоматизований моніторинг є незаперечними. Зацікавлені сторони, включаючи законодавців, експертів з кібербезпеки та IT-фахівців, повинні об’єднати зусилля для забезпечення того, щоб цифрові операції в критично важливих державних установах були прозорими та безпечними.