ФБР раскрывает, как предполагаемые китайские агенты выбирают в качестве мишеней лиц, имеющих допуск к секретной информации в США

Согласно недавно обнародованному аффидевиту ФБР, лица, предположительно связанные с китайскими спецслужбами, использовали поддельные сайты консалтинговых компаний, платформы по поиску работы, фотографии, сгенерированные с помощью искусственного интеллекта, похищенные личные данные, зашифрованные мессенджеры и международные платежи для вербовки американцев, имеющих допуск к секретной информации.

В отредактированном документе, обозначенном прокуратурой округа Колумбия как дело № 26-sz-42, приводится наиболее подробное на сегодняшний день публичное описание предполагаемой вербовочной сети, в связи с которой в июне Министерство юстиции конфисковало 13 интернет-доменов.

В аффидевите говорится, что операторы размещали объявления о вакансиях на LinkedIn и других платформах, предлагая должности, такие как «старший аналитик» и «консультант по международным делам», по темам, связанным с интересами китайского режима. В число целей входили действующие и бывшие сотрудники правительства США, военнослужащие и другие лица, имеющие допуск к секретной информации.

Отделение ФБР в Норфолке, которое расследовало это дело совместно с полевым отделением ФБР в Вашингтоне, сообщило изданию «The Epoch Times», что люди должны сообщать о подозрительных предложениях о консультационных услугах, даже если они не предоставляли секретную информацию.

«Китайское правительство продолжает пытаться заполучить американские инновации, результаты исследований и конфиденциальную информацию с помощью различных обманных методов, включая мошеннические объявления о вакансиях и попытки набора персонала через Интернет», — заявил в заявлении, присланном по электронной почте, специальный агент ФБР в Норфолке Доминик Эванс.

«Захватывая эти домены и разоблачая эти тактики, мы стремимся защитить национальную безопасность, сохранить американские инновации и помочь общественности распознавать эти угрозы и защищаться от них. Мы призываем всех, кому поступают подозрительные предложения о работе или попытки вербовки, сохранять бдительность, распознавать предупреждающие признаки и сообщать о подозрительной деятельности в ФБР».

В документе не указаны имена операторов. Также не указано, предоставляла ли какая-либо американская организация секретную информацию.

Как работала схема

10 июня Министерство юстиции объявило, что федеральные власти заблокировали 13 доменов, которые, по утверждению прокуроров, поддерживались подозреваемыми китайскими агентами. Из опубликованного пакета документов с ордером на изъятие и аффидевитом следует, что ордер на изъятие был подписан 5 июня магистратским судьей США Г. Майклом Харви и уполномочил власти перенаправить домены на серверы, контролируемые ФБР.

В аффидевите говорится, что предполагаемые операторы размещали объявления о вакансиях и создавали веб-сайты, маскирующиеся под консалтинговые или некоммерческие организации, в том числе Centrik Global Consulting, Rightinfo Consulting, Pulse Wave Global, GeoIndopacific, SafeSec Group, The TruthInfo, Vandercons и Gulf Peace Foundation. Согласно аффидевиту, домены этих веб-сайтов были зарегистрированы в период с ноября 2023 года по октябрь 2025 года.

Как отмечается в аффидевите, ссылки на эти веб-сайты часто размещались в объявлениях о вакансиях на LinkedIn и других платформах по поиску работы, включая Upwork, Expertia AI, Hubstaff Talent, Wellfound и Post Job Free.

ФБР сообщило, что предполагаемые операторы использовали псевдонимы, вымышленные личности, украденные личные данные и фотографии, сгенерированные с помощью искусственного интеллекта. Они также использовали Telegram и другие зашифрованные приложения для общения с целевыми лицами.

В аффидевите указано, что наемным работникам платили через онлайн-счета, открытые на имена вымышленных лиц, а также в криптовалюте. Прокуроры заявили, что такие платежи помогали скрыть личности операторов и истинный источник происхождения денег.

На момент публикации LinkedIn не ответил на запрос о комментарии.

В поле зрения — лица, имеющие допуск к секретной информации

В аффидевите говорится, что поддельная консалтинговая сеть нацеливалась на людей, имеющих доступ к засекреченной, общедоступной, конфиденциальной или чувствительной информации, которую «правительство КНР может использовать для принятия экономических, политических или военных решений либо для получения преимущества».

В документах указывается, что китайские спецслужбы используют человеческие источники, онлайн-псевдонимы, фальшивые личности, зашифрованную связь и денежные переводы для сбора информации. В них также говорится, что США являются основной целью этих операций.

Предполагаемая схема не начиналась с открытого запроса секретной информации.

Согласно показаниям под присягой, кандидатов нанимали для написания отчетов, а затем на них оказывали давление с целью получения «эксклюзивных» или «инсайдерских» материалов. Операторы просили новобранцев делиться конфиденциальной информацией и отчетами из инсайдерских источников.

В отдельном предупреждении «Пяти глаз», опубликованном 3 июня спецслужбами США и их союзников, содержится предупреждение о том, что китайские военные разведывательные службы используют онлайн-платформы по поиску работы для установления контактов с людьми, имеющими доступ к секретной информации.

В предупреждении отмечается, что в число целей могут входить лица, имеющие допуск к секретной информации, военнослужащие, ученые, журналисты, независимые авторы, сотрудники аналитических центров, а также лица, связанные с секторами обороны, безопасности, политики и экономики.

Предупреждающие признаки

Отделение ФБР в Норфолке направило газету «The Epoch Times» к рекомендациям ФБР для лиц, имеющих допуск к секретной информации, которые становятся мишенями в Интернете.

К предупреждающим признакам относятся предложения о работе, которые кажутся слишком хорошими, чтобы быть правдой; удаленная или гибкая работа с несоразмерно высокой оплатой; чрезмерная похвала навыков или опыта потенциальной жертвы; а также давление с целью заставить воспринимать данную возможность как эксклюзивную или ограниченную.

Слушайте «China Watch» — подкаст, посвящённый китайской политике, технологиям и бизнесу.

К другим тревожным признакам относятся неясная информация о компании, отсутствие поддающихся проверке следов в Интернете, давление с целью перехода с одной социальной сети на другой способ общения, использование личных адресов электронной почты или приложений для обмена зашифрованными сообщениями, а также запросы на предоставление письменных отчетов, которые впоследствии переходят к непубличной или конфиденциальной информации.

В рекомендациях ФБР также содержится предупреждение о рекрутерах, предлагающих «услуги», в том числе помощь с визами, поездками, проживанием в отелях или питанием.

Отделение ФБР в Норфолке сообщило, что действующие или бывшие обладатели доступа к секретной информации, военнослужащие, подрядчики или федеральные служащие, которые взаимодействовали с одним из изъятых доменов или связанным с ним рекрутером, должны сообщить об этом в ФБР по телефону 1-800-CALL-FBI или на сайте tips.fbi.gov.

Ранее зафиксированный случай вербовки через Интернет

В аффидевите ФБР упоминается более раннее дело Джуна Вэй Йео (Jun Wei Yeo), также известного как Диксон Йео (Dickson Yeo) — гражданина Сингапура, который в 2020 году признал себя виновным в федеральном суде в том, что действовал на территории США в качестве незарегистрированного агента Коммунистической партии Китая (КПК).

Согласно изложению фактов Йео, приведенному в аффидевите, он использовал социальные сети и другие онлайн-ресурсы для выявления и оценки граждан США, имеющих доступ к ценной закрытой информации.

Согласно заявлению, Йео вербовал некоторых из этих людей для написания отчетов, не сообщая им, что эти отчеты предназначались для КПК.

Как говорится в аффидевите, на одной из встреч Йео получил от своих кураторов указание добыть непубличную информацию о Министерстве торговли США, искусственном интеллекте и торговой войне между США и Китаем.

Сотрудничающие спецслужбы предупреждают о целенаправленных атаках на платформы по поиску работы

В предупреждении «Пяти глаз» описан процесс вербовки, который начинается с профессиональных сетевых ресурсов или фриланс-платформ и переходит к частному общению, платным отчетам и запросам на более конфиденциальные материалы.

В предупреждении отмечается, что вербовщики могут попросить подготовить пробный отчет по таким темам, как внешняя политика Китая, Индо-Тихоокеанский регион, вопросы обороны или международная торговля. Согласно предупреждению, оплата может варьироваться от сотен до тысяч долларов за отчет.

«Даже несекретная информация о государственной политике или о военной стратегии, потенциале и объектах может быть собрана и объединена с более конфиденциальными отчетами для формирования всеобъемлющей оперативной картины», — говорится в предупреждении.

Это предупреждение соответствует одной из основных проблем, указанных в аффидевите ФБР: цель не обязана передавать секретные материалы при первом контакте, чтобы данная операция имела контрразведывательную ценность.

В аффидевите не указаны имена зарубежных операторов, не сообщается, остаются ли подобные веб-сайты активными, и не указано, уведомляла ли какая-либо платформа по поиску работы пользователей, которые, возможно, взаимодействовали с объявлениями или профилями рекрутеров.