Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Służby państwowe coraz częściej sięgają po techniki socjotechniczne, które nie wymagają przełamywania zabezpieczeń technicznych, lecz wykorzystują zaufanie i zawodową aktywność potencjalnych ofiar. Najnowsze ostrzeżenie państw sojuszu Five Eyes wskazuje, że chińscy oficerowie wywiadu mają podszywać się pod rekruterów i publikować fałszywe oferty pracy, aby pozyskiwać informacje od pracowników administracji publicznej, personelu wojskowego, kontraktorów oraz osób posiadających poświadczenia bezpieczeństwa.
To model działania, w którym legalnie wyglądający proces rekrutacyjny staje się przykrywką dla operacji wywiadowczej. Celem nie jest wyłącznie zdobycie CV czy danych kontaktowych, ale także stopniowe wydobywanie informacji o strukturach organizacyjnych, obowiązkach służbowych, relacjach zawodowych i dostępie do wrażliwych obszarów działalności państwa.
W skrócie
Kampania polega na kontaktowaniu się z wybranymi osobami przez platformy rekrutacyjne i serwisy networkingowe. Atakujący przedstawiają się jako rekruterzy firm doradczych, think tanków, ośrodków analitycznych lub działów HR i proponują stanowiska związane z obronnością, polityką zagraniczną, handlem międzynarodowym albo analizą strategiczną.
- Celem są osoby mające dostęp do informacji rządowych, wojskowych lub gospodarczo wrażliwych.
- Fałszywy proces rekrutacyjny służy do profilowania kandydatów i wydobywania danych.
- Ofiarom proponuje się płatne raporty lub zadania próbne o rosnącej wartości wywiadowczej.
- Komunikacja bywa przenoszona na alternatywne, trudniejsze do monitorowania kanały.
Kontekst / historia
Ostrzeżenie zostało przygotowane wspólnie przez służby bezpieczeństwa i kontrwywiadu państw Five Eyes, czyli Stanów Zjednoczonych, Wielkiej Brytanii, Australii, Kanady i Nowej Zelandii. Z opublikowanych materiałów wynika, że chodzi o długofalowy schemat wykorzystywania narzędzi zawodowych do identyfikowania osób z potencjalnie cennym dostępem informacyjnym.
Sama metoda nie jest nowa. Od lat obserwuje się wykorzystywanie portali zawodowych do budowania relacji z urzędnikami, wojskowymi, ekspertami, analitykami i wykonawcami pracującymi dla sektora publicznego. Obecnie zagrożenie wyróżnia jednak skala, precyzja targetowania oraz dojrzałość operacyjna. Platformy networkingowe przestały być wyłącznie miejscem rozwoju kariery, a stały się także przestrzenią rozpoznania, selekcji i potencjalnego werbunku.
Analiza techniczna
Schemat działania opisany przez służby obejmuje kilka etapów. Najpierw atakujący publikują atrakcyjnie przygotowane oferty albo bezpośrednio kontaktują się z wybranymi osobami. Wykorzystują wiarygodnie wyglądające profile i nazwy organizacji, które brzmią profesjonalnie, neutralnie i ekspercko.
Następnie następuje selekcja kandydatów. Analizowane są ich doświadczenie zawodowe, zakres odpowiedzialności, historia zatrudnienia, sieć kontaktów oraz prawdopodobny dostęp do danych wrażliwych. Z perspektywy operatora kampanii CV nie jest oceniane pod kątem kompetencji biznesowych, lecz wartości wywiadowczej.
Kolejny etap to rozmowy online i zadania próbne. Kandydaci mogą być proszeni o przygotowanie raportów dotyczących relacji międzynarodowych, polityki regionalnej, obronności lub handlu. Tematy początkowo wyglądają nieszkodliwie, ale z czasem oczekiwane materiały stają się coraz bardziej szczegółowe. W praktyce jest to klasyczne etapowe wydobywanie informacji, w którym ofiara przyzwyczaja się do współpracy i stopniowo obniża poziom ostrożności.
Istotnym elementem bywa również wynagrodzenie. Płatne analizy, honoraria za konsultacje czy zlecenia eksperckie budują pozory legalnej relacji zawodowej. Jednocześnie sposób realizacji płatności może utrudniać powiązanie działań z faktycznym operatorem kampanii, zwłaszcza gdy wykorzystywane są pośrednicy, międzynarodowe platformy płatnicze lub inne rozproszone kanały rozliczeń.
Z punktu widzenia cyberbezpieczeństwa jest to połączenie socjotechniki, OSINT-u, profilowania celów i działań z pogranicza insider threat. Organizacja może ponieść poważną stratę bezpieczeństwa nawet wtedy, gdy nie dochodzi do włamania do systemu. Wystarczy, że pracownik lub współpracownik ujawni informacje, które po agregacji z innymi źródłami zyskają wysoką wartość operacyjną.
Konsekwencje / ryzyko
Najbardziej oczywistym skutkiem jest ujawnienie informacji niejawnych lub uprzywilejowanych. Jednak równie poważnym zagrożeniem jest przekazywanie danych pozornie błahych, które po zestawieniu z informacjami z innych źródeł pozwalają odtworzyć strukturę organizacji, łańcuch zależności, priorytety operacyjne czy aktywność określonych zespołów.
Ryzyko obejmuje także bezpieczeństwo osobowe. Dane o stanowiskach, lokalizacjach, specjalizacjach, harmonogramach i relacjach służbowych mogą zostać wykorzystane do dalszego targetowania, spear phishingu, prób wpływu, szantażu lub klasycznych działań werbunkowych. W przypadku środowisk wojskowych i rządowych może to oznaczać zagrożenie nie tylko dla informacji, ale również dla ludzi i prowadzonych przez nich operacji.
Dla samych ofiar konsekwencje mogą obejmować utratę poświadczeń bezpieczeństwa, postępowania dyscyplinarne, utratę pracy, a w części jurysdykcji także odpowiedzialność karną. Dodatkowym problemem pozostaje ekspozycja danych osobowych przekazywanych podczas procesu „rekrutacji”, w tym informacji zawartych w CV, portfolio, korespondencji i dokumentach uzupełniających.
Rekomendacje
Organizacje publiczne, podmioty obronne i firmy współpracujące z administracją powinny traktować rekrutację jako element powierzchni ataku. Ochrona informacji nie może ograniczać się do systemów IT, ponieważ przeciwnik coraz częściej wykorzystuje relacje zawodowe i publicznie dostępne dane o pracownikach.
- Weryfikować tożsamość rekruterów, organizacji i kanałów komunikacji przed rozpoczęciem rozmów.
- Ograniczać zakres informacji publikowanych w profilach zawodowych i życiorysach.
- Unikać omawiania projektów, struktur zespołów, zakresu dostępu i procedur wewnętrznych podczas zewnętrznych procesów rekrutacyjnych.
- Wdrożyć prosty mechanizm zgłaszania podejrzanych kontaktów do działów bezpieczeństwa.
- Szkolić personel z rozpoznawania sygnałów ostrzegawczych charakterystycznych dla fałszywych ofert pracy.
- Monitorować ryzyko wobec osób z poświadczeniami bezpieczeństwa, byłych urzędników i kontraktorów.
Na poziomie indywidualnym szczególną ostrożność powinny wzbudzać oferty z wysokim wynagrodzeniem, niejasnym zakresem obowiązków, presją czasową, nietypowym zadaniem próbnym lub prośbą o przeniesienie rozmowy na mniej formalny komunikator. Czerwoną flagą są również pytania o dostęp do konkretnych osób, systemów, procedur, dokumentów i obszarów działalności organizacji.
Podsumowanie
Opisana kampania pokazuje, że współczesne operacje wywiadowcze coraz częściej zaczynają się od pozornie zwykłej wiadomości od rekrutera. Fałszywe oferty pracy stały się skutecznym narzędziem pozyskiwania informacji od osób działających na styku administracji, obronności, analityki i sektora prywatnego. Dla zespołów bezpieczeństwa to wyraźny sygnał, że strategia ochrony musi obejmować nie tylko infrastrukturę techniczną, ale również procesy HR, obecność cyfrową pracowników i bezpieczeństwo relacji zawodowych.
Źródła
- Five Eyes: Chinese Spies Target Government, Military Staff With Fake Job Opportunities — https://www.securityweek.com/five-eyes-chinese-spies-target-government-military-staff-with-fake-job-opportunities/
- China Targets Current and Former U.S. Government Employees for Recruitment — https://www.ic3.gov/PSA/2024/PSA240510
- CSA: Chinese Intelligence Officers Posing as Recruiters Target Current and Former Government Employees — https://www.ic3.gov/CSA/2025/CSA250508
- MI5 Advice on State Threats and Espionage Risks — https://www.mi5.gov.uk/threats/state-threats
- ASIO: Foreign Interference and Espionage — https://www.asio.gov.au/threats/foreign-interference-and-espionage.html