Хедхантер с погонами или как Китай вербует западных военных на LinkedIn, Indeed и Upwork

Спецслужбы США и стран альянса «Пять глаз» зафиксировали массовую кампанию китайской разведки по выходу на бывших и действующих военных, чиновников и аналитиков через поддельные предложения о работе на LinkedIn, Indeed и Upwork. Жертв постепенно превращают в платных консультантов, вытягивая из них чувствительные сведения небольшими порциями. Деньги переводят через PayPal, Wise, Zelle, Skrill, Payoneer и криптовалюту, чтобы запутать следы.

Схема пришла на смену прежней головной боли западных кадровиков — северокорейским айтишникам, которые пытались устроиться удалёнными разработчиками в крупные компании. Сейчас логика перевернулась. Человека не зовут в штат, его аккуратно превращают во внешнего эксперта, готового продавать свои знания за щедрый гонорар.

Под прикрытием рекрутинговых агентств, аналитических центров и частных консалтинговых бутиков действуют офицеры разведки КНР. Они вывешивают приличные вакансии на площадках, где обновляют профили специалисты по обороне, внешней политике и стратегической аналитике. Профиль ветерана ВМС или бывшего сотрудника госдепа становится для них витриной кандидатов.

Дальше всё идёт по сценарию обычного найма. Звонок от кадровика, вежливая беседа о карьере, рассказ о международном проекте, который требует свежего взгляда. Подвох прячется в формулировках вопросов, которые звучат чуть глубже, чем принято на собеседовании. Кандидата могут спросить о следующем:

• профессиональных контактах и круге бывших коллег;
• особенностях подразделения и месте прежней службы;
• названии корабля или базы, если кандидат служил во флоте;
• связях с действующими госструктурами;
• текущих должностных обязанностях и доступах.

Стоит обратить внимание, что вопросы маскируются под уточнения квалификации, а не под допрос, и именно эта обыденность тона усыпляет осторожность кандидата.

После знакомства соискателю прилетает тестовое задание. Обычно это аналитическая записка про отношения Китая с соседями по региону, обстановку в Индо-Тихоокеанской зоне, оборонные расходы или перспективы морской торговли. По бумаге всё выглядит как стандартный тест для консультанта высокого уровня, по факту проверяющий замеряет глубину знаний автора и оценивает, к каким внутренним источникам у него остался доступ.

Когда работа сдана и принята, общение мягко уходит из открытых платформ. Заказчики предлагают перейти на зашифрованные мессенджеры и закрытые каналы, объясняя переезд требованиями корпоративной конфиденциальности. По данным ФБР, дальше начинаются регулярные оплаты за аналитику, причём расценки за сведения ограниченного доступа заметно выше базовых ставок.

Финансовая часть устроена многослойно. Деньги дробят между сервисами:

• PayPal и Payoneer для регулярных небольших гонораров;
• Zelle и Skrill для внутренних переводов;
• Wise для трансграничных платежей;
• Western Union для срочных выплат наличными;
• криптокошельки для крупных сумм и анонимизации.

Уточняется, что один человек редко выдаёт весь массив секретов целиком, организаторов устраивает мозаика из десятков мелких фрагментов, собранных у разных источников.

Принцип сбора данных похож на работу пазла. Каждый отдельный кусочек выглядит нейтрально, а соединённые вместе фрагменты складываются в полноценную разведывательную сводку по конкретной базе, командной структуре или цепочке поставок оборонной продукции. Бывший лейтенант, рассказавший про распорядок дня на корабле, технически не выдал тайну, но его рассказ дополнил картину, которую кто-то другой начал собирать через комментарий о ремонтных доках.

Целевая аудитория вербовщиков шире, чем кажется на первый взгляд. В неё попадают следующие категории:

• отставные и действующие военные всех родов войск;
• сотрудники разведсообщества и силовых ведомств;
• работники предприятий ОПК и смежных подрядчиков;
• журналисты и независимые авторы по международной тематике;
• эксперты аналитических центров и think tank;
• специалисты по экономической политике и санкциям.

ФБР отдельно отметило одну деталь. Главным оружием в кампании работают не нулевые уязвимости и не шпионские импланты, а человеческое тщеславие и потребность в признании. Лестное письмо от незнакомого хедхантера, обещание гонорара в долларах за пару страниц текста, ощущение, что твоя экспертиза наконец-то по достоинству оценена, — всё это разворачивает кандидата быстрее любой технической атаки.

Предупреждение Бюро снабжено практическими ориентирами для самопроверки. Стоит насторожиться, если на первом же созвоне собеседник интересуется бывшими коллегами, если оплату предлагают через нестандартный набор сервисов сразу, если переписку быстро уводят в Signal или Telegram под предлогом NDA, если тестовое задание требует упомянуть конкретные документы или внутренние процессы прошлого работодателя.

Ранее сообщалось, что связанные с Китаем хакерские группировки использовали обострение ситуации вокруг Ирана для расширения своей разведывательной активности на Ближнем Востоке. Согласно отчёту ESET от 28 мая, под удар попали морские, энергетические и политические организации стран Персидского залива. Аналитики отмечали, что особый интерес злоумышленников был сосредоточен на секторах, связанных с добычей нефти и газа, портовой инфраструктурой, судоходством и логистическими цепочками.

Эксперты редакции CISOCLUB уверены, что описанная схема будет масштабироваться и адаптироваться под локальные рынки труда, потому что её экономика выгоднее любой технической операции. Содержать кадровое агентство-прикрытие дешевле, чем разрабатывать эксплойт, а отдача в виде потока живых источников выше.

Российским специалистам оборонного и аналитического профиля стоит держать в голове, что подобные методики легко копируются разведками других стран и уже сейчас могут работать против русскоязычной аудитории на профильных площадках. Защитой здесь служит не антивирус, а трезвый взгляд на слишком хорошие карьерные предложения от непрозрачных компаний. Базовая гигиена простая — проверять юрлицо нанимателя, гуглить фамилии рекрутеров, отказываться от уводов в зашифрованные каналы на ранних этапах, не обсуждать прошлых работодателей в подробностях. Редакция рекомендует относиться к щедрому письму незнакомого хедхантера так же критично, как к фишинговой рассылке из неизвестного домена.