ФБР изъяло 13 сайтов, использовавшихся для вербовки американских чиновников в интересах Китая

Речь идёт о довольно изощрённой операции, которая началась ещё в ноябре 2023 года. Злоумышленники создавали подставные фирмы, размещали онлайн-вакансии и вели вербовку через социальные сети. Основной целью были действующие и бывшие сотрудники американских госструктур, военнослужащие, а также обладатели допусков к секретным материалам. Соискателям предлагали оплачиваемую консультационную работу с такими должностями, как "старший аналитик" или "консультант по международным делам".

После того как человек соглашался на сотрудничество, ему заказывали исследовательские отчёты. Однако со временем требования смещались в сторону сбора конфиденциальных или так называемых "инсайдерских" данных, которые вербуемый не имел права разглашать. Как утверждается в судебных документах, операторы схемы использовали целый набор приёмов для создания видимости легитимности: фальшивые учётные записи, украденные личности, изображения профилей, сгенерированные нейросетями, зашифрованные мессенджеры, онлайн-кошельки и криптовалюту. Подписывались даже контракты и соглашения о неразглашении.

Федеральные власти отмечают, что объявления о вакансиях появлялись на популярных биржах труда и фриланс-платформах, включая Upwork, Expertia AI, Hubstaff Talent, Wellfound и Post Job Free. Тематика предлагаемых заданий, по заявлению прокуратуры, чётко соответствовала интересам китайского правительства. Финансовые потоки также имели характерную структуру: платежи поступали из зарубежных счетов на территорию Соединённых Штатов.

В поданном в поддержку ордеров на арест доменов письменном показании под присягой утверждается, что владельцы сайтов участвовали в сговоре, включающем подкуп нынешних и бывших государственных служащих, кражу личности и международное отмывание денег. Сами фигуранты отрицают какую-либо причастность иностранного государства. Теперь любому, кто попытается зайти на конфискованные домены, отображается уведомление ФБР о том, что сайты изъяты по федеральному ордеру. Среди захваченных адресов фигурируют как короткие, так и длинные сочетания, имитирующие названия реальных консалтинговых фирм.

Для российского читателя важно понимать несколько аспектов этой истории. Во-первых, она демонстрирует, насколько далеко зашла практика вербовки носителей секретной информации через интернет-площадки: злоумышленники больше не полагаются исключительно на личные контакты. Во-вторых, использование технологий искусственного интеллекта для создания поддельных фотографий и документов делает верификацию контрагентов почти невозможной без специальных инструментов. В-третьих, сам факт активного применения криптовалют и зашифрованных каналов связи в подобных схемах поднимает вопрос о том, насколько регуляторы способны отслеживать такие транзакции.

Ключевой элемент всей схемы - это доверие. Жертвы, обладающие допуском к секретной информации, обычно обучены не разглашать данные. Но когда им предлагают хорошо оплачиваемую "исследовательскую" работу, грань между законным консультированием и нарушением режима секретности стирается. При этом злоумышленники активно используют социальную инженерию: сначала ставят простые задачи, а затем постепенно подталкивают к нарушению. Подобная тактика известна как "лестница компрометации" и часто применяется не только государственными, но и корпоративными агентами.

С точки зрения безопасности, этот инцидент подтверждает старую истину: человек остаётся самым слабым звеном в любой защищённой системе. Никакое шифрование не поможет, если владелец секретов сам передаёт их третьей стороне. Поэтому меры защиты должны включать не только технические средства, но и постоянное обучение персонала и мониторинг их активности в открытых источниках.

Интересна и юридическая сторона дела. ФБР использовало законный инструмент - арест доменов по ордеру. Это довольно распространённая практика в борьбе с фишингом, мошенничеством и шпионажем. Однако уникальность здесь в масштабах и продолжительности: операция длилась больше года, и для сбора доказательств привлекались ресурсы сразу нескольких ведомств. Министерство юстиции в пресс-релизе подчеркнуло, что такие действия будут продолжены, и назвало это частью системной борьбы с иностранным вмешательством.

Тем не менее, остаётся открытым вопрос об эффективности таких блокировок. Злоумышленники могут просто зарегистрировать новые домены или перейти на другие платформы. Однако конфискация наносит удар по доверию потенциальных целей: теперь любой, кто столкнётся с подобным предложением, может усомниться в его легитимности. Кроме того, показательное изъятие сайтов служит предупреждением для американских чиновников: попытка продать доступ к секретной информации скорее всего закончится разоблачением.

Для специалистов в области информационной безопасности этот случай - ещё один пример того, как угрозы государственного уровня мигрируют в общедоступные цифровые среды. Если раньше вербовщики работали через личные встречи и закрытые клубы, то теперь они открыто размещают объявления на Upwork. Это меняет правила игры для компаний, которые используют эти платформы для поиска сотрудников.

Атаки с использованием поддельных консалтинговых фирм не являются чем-то совершенно новым, но данная операция отличается тщательностью исполнения и применением AI для создания правдоподобных профилей. Борьба с такими схемами требует от спецслужб не только технической компетенции, но и умения работать с данными из открытых источников.

Резюмируя, можно сказать, что использование подставных сайтов и платформ для фриланса стало удобным каналом для попыток кражи государственных секретов. События вокруг тринадцати конфискованных доменов показывают: противостояние между разведками всё активнее перемещается в интернет, а обычные инструменты найма персонала превращаются в поле битвы.

Domains

• catalystglobalsolutions.com
• centrikglobalconsulting.com
• cydfconsulting.com
• finnaclevesperconsulting.com
• geoindopacific.com
• gpf-ina.org
• gulfpeace.org
• pulsewaveglobal.com
• rightinfoconsult.com
• safesec-group.com
• thehorizzen.com
• thetruthinfo.com
• vandercons.com