Operacje wrogich państw w Polsce. Gawkowski: nowe formy infiltracji

Minister cyfryzacji Krzysztof Gawkowski opublikował na portalu X wpis dotyczący „nowych form cyfrowej infiltracji”. Mowa o procesach rekrutacyjnych, które mają być celem „precyzyjnie zaplanowaych operacji”.

Celem cyberprzestępców ma być kradzież danych kluczowych z punktu widzenia bezpieczeństwa państwa. Pełnomocnik Rządu ds. Cyberbezpieczeństwa, minister cyfryzacji Krzysztof Gawkowski opublikował rekomendacje, skierowane przede wszystkim do podmiotów Krajowego Systemu Cyberbezpieczeństwa.

Zagrożenie i przeciwdziałanie

W dokumencie wskazano konkretne cechy i wydarzenia, które powinny zwrócić uwagę rekruterów. Wśród nich znalazło się m.in.:

• prowadzenie rozmów z włączoną kamerą;
• zwracanie uwagi na nienaturalne pauzy, wyciszenia czy opóźnienia;
• potwierdzanie historii zatrudnienia u poprzednich pracodawców (jednocześnie pamiętając o zapisach RODO - przyp. red.);
• rozważenie weryfikowania tożsamości "na żywo" przy rolach o podwyższonym ryzyku;
• monitorowanie aktywności w nietypowych godzinach;
• weryfikowanie linków do spotkań pod kątem nietypowych (phishingowych) domen.

W ramach rekomendacji zalecono również niepobieranie żadnych plików oraz nieuruchamianie poleceń terminala sugerowanych przez interfejs wideorozmowy. Zaapelowano również o ostrożność wobec instalowania aplikacji spoza oficjalnych dystrybucji.

Jeśli podczas spotkania wystąpią „problemy z dźwiękiem” i rozmówca proponuje „aktualizację” lub „naprawę” wymagającą pobrania pliku lub wklejenia komendy, należy natychmiast przerwać połączenie.
Zalecenia Pełnomocnika Rządu ds. cyberbezpieczeństwa

Ważne zalecenie dotyczy stosowania zasady nadawania minimalnych wymaganych uprawnień wobec kontrahentów.

Dokument został wydany w związku z „obserwowanymi atakami socjotechnicznymi związanymi z rekrutacją pracowników oraz nawiązywaniem innych relacji z danym podmiotem KSC i jego przedstawicielami”. Obecnie nie znamy krajów pochodzenia atakujących lub osób zlecających złośliwe działanie, lecz wicepremier określił je jako wspierane przez służby z „wrogich państw”.

Korea Północna próbowała swoich sił w Polsce

Rok temu informowaliśmy o tym, że problem związany z zatrudnianiem zdalnych pracowników służących interesom Korei Północnej dotyczy również Polski. Pokazała to analiza Mandianta z 1 kwietnia 2025 roku. Poniżej zamieszczamy mapę z raportu, na której zaznaczono kraje, gdzie zaobserowano próby zatrudniania się pracowników służących reżimowi Kim Dzong Una.

W maju 2025 roku opisaliśmy kampanię z raportu Nisosa, dotyczącą podszywania się północnokoreańskich pracowników IT pod Amerykanów oraz Polaków. „Ta sieć stanowi pierwszy sygnał, że pracownicy IT powiązani z KRLD mogą zakładać fikcyjne firmy zajmujące się tworzeniem oprogramowania, prezentujące się poprzez wiarygodnie wyglądające strony internetowe, aby zdobywać zlecenia jako freelancerzy” - stwierdzono wówczas w opracowaniu.

Awatary na GitHubie były wygenerowane za pomocą AI, zaś adresy wskazywały na losowe budynki w naszym kraju. Poniżej zamieszczamy przykład „Kornela Dudka” - rzekomo polskiego pracownika IT, który miał za dużo cyfr w numerze telefonu, zaś numer kierunkowy (+48 22) nie dotyczy jego rzekomego miejsca zamieszkania (lub świadczenia usług).

Analitycy Nisos odkryli również m.in. dwóch „Janów Kowalskich”.

Pragniemy jednocześnie zaznaczyć, że w zaleceniach ministra cyfryzacji nie znalazły się informacje o kraju pochodzenia atakujących.