Rekrutacja jak w IT, struktura jak w korpo. Tak działa nowoczesne cyberpodziemie

W kwietniu 2025 roku firma Trend Micro zorganizowała międzynarodową konferencję prasową poświęconą zjawisku rosyjskojęzycznego podziemia cybernetycznego. Spotkanie miało charakter informacyjny i odbyło się z udziałem dziennikarzy z Europy oraz Azji.

Wśród prelegentów znaleźli się Vladimir Kropotov, ekspert ds. cyberprzestępczości z ponad 20-letnim doświadczeniem w sektorze finansowym i telekomunikacyjnym, oraz Fiodor Jarochkin, specjalista z doktoratem z inżynierii, zajmujący się bezpieczeństwem ofensywnym i defensywnym.

W trakcie wydarzenia omówiono m.in.

• rozwój przestępczych ekosystemów,

• rekrutację „pracowników” przez legalne kanały,

• oraz wykorzystywanie sztucznej inteligencji do ataków.

Jak podkreślali eksperci, granica między hakerami a przestępczymi przedsiębiorstwami staje się coraz bardziej płynna, a cyberpodziemie działa dziś z niemal taką samą sprawnością jak firmy obecne na legalnym rynku.

Eksperci Trend Micro wskazują, że dzisiejsze grupy cyberprzestępcze funkcjonują jak dobrze zarządzane firmy – mają jasno określoną strukturę, podział ról, hierarchię i wewnętrzne procedury operacyjne. Ich działania nie przypominają już chaotycznych akcji pojedynczych hakerów, lecz przypominają sposób funkcjonowania średnich przedsiębiorstw.

Przestępcy, którzy działają w podziemiu od lat, osiągnęli bardzo wysoki poziom dojrzałości. Funkcjonują jak przestępcze przedsiębiorstwa, z podziałem ról, procesami biznesowymi i własną strukturą operacyjną – mówił Kropotov.

Ekspert podkreślił również, że ta struktura pozwala im działać efektywnie i skalowalnie – co czyni z nich realne zagrożenie także dla legalnej gospodarki.

Jednym z bardziej niepokojących trendów jest rekrutowanie osób z legalnego rynku pracy do działań przestępczych. Okazuje się, że ogłoszenia bywają zamieszczane na typowych portalach, a sam proces przypomina klasyczny HR.

Kropotow dodał również, że programiści, projektanci aplikacji czy wykonawcy prostych zadań IT mogą nieświadomie uczestniczyć w nielegalnych działaniach, realizując zlecenia z pozoru wyglądające na legalne projekty.

Dzięki narzędziom opartym na sztucznej inteligencji dostęp do cyberprzestępczości staje się łatwiejszy niż kiedykolwiek wcześniej. Nie potrzeba już lat edukacji czy zaawansowanej wiedzy technicznej.

Obecnie zasięg wejścia do podziemia jest bardzo niski. Wcześniej trzeba było mieć kilka lat studiów. Teraz wystarczy być młodym człowiekiem z dostępem do AI” – mówił Kropotow.

W podziemiu cybernetycznym funkcjonują dziś także „programy edukacyjne”, które uczą, jak zarabiać na przejętych danych. Często oferowane są z opieką mentorską aż do pierwszego sukcesu.

Zjawisko to sprawia, że podziemie cybernetyczne zaczyna konkurować z legalnymi firmami o młodych specjalistów IT. Problemem nie jest już tylko bezpieczeństwo systemów, ale również utrzymanie lojalności i etyki w zespołach pracowników technicznych.

Podczas konferencji poruszono również inne istotne zagadnienia, wykraczające poza techniczne aspekty cyberprzestępczości. Eksperci mówili m.in. o tym, że trudno dziś jednoznacznie rozdzielić działania przestępcze od operacji sponsorowanych przez państwa – szczególnie w kontekście wojny w Ukrainie. Zwracali uwagę, że granica między działaniami przestępczymi a politycznymi coraz częściej się zaciera.

Po wybuchu wojny pojawił się wyraźny podział ideologiczny. Część grup zaczęła wspierać rosyjską narrację, inne przeszły na stronę Ukrainy i zaczęły traktować Rosję jako uzasadniony cel ataków – mówił Fiodor Jarochkin.

Wspomniano także o roli kryptowalut jako fundamentu cyberpodziemia – to dzięki nim możliwa jest anonimowa i globalna monetyzacja ataków. Jarochkin zauważył, że bitcoin odegrał kluczową rolę w skalowaniu działalności grup przestępczych:

Bitcoin był jednym z przełomowych narzędzi, które wyniosły rosyjskojęzyczne podziemie cybernetyczne na wyższy poziom. Stworzył cały ekosystem przepływu kryptowalut.

Eksperci przestrzegali również przed rosnącym ryzykiem dla krajów członkowskich NATO, w tym Polski. Jak zaznaczył Jarochkin:

Każdy kraj należący do NATO może zostać uznany za uzasadniony cel ataku hakerskiego, po prostu z uwagi na przynależność do konkretnego sojuszu (...)

Z punktu widzenia haktywizmu nie chodzi o to, czy kraj ma coś wartościowego do wykradzenia, ale czy wysyła jakiś polityczny sygnał. To wystarczy, by znaleźć się na liście celów.

W tym kontekście wymieniono także Polskę, Finlandię i Szwecję jako państwa, które – z racji położenia i roli w regionie – mogą być postrzegane jako szczególnie „widoczne”.

W rozmowie podkreślono też, że zjawisko haktywizmu nie zanika – wręcz przeciwnie, staje się coraz bardziej złożone i profesjonalne.

Przed wojną haktywizm był raczej amatorski. Teraz mamy do czynienia z wieloma poziomami zaawansowania – od prostych ataków DDoS po działania realnie wpływające na operacje wojskowe przeciwnika – dodał Jarochkin.

Na zakończenie konferencji głos zabrał także Fiodor Jarochkin. Zwrócił uwagę, że nie wszystkie osoby działające w podziemiu kierują się wyłącznie chęcią zarobku. Jego zdaniem, coraz częściej pojawiają się nowi gracze, którzy motywowani są ideologicznie lub emocjonalnie – np. chcą „obalić system”, działać przeciwko konkretnym państwom lub strukturze władzy.

Jarochkin podkreślił również, że w wielu przypadkach nie da się już jednoznacznie oddzielić działań cyberprzestępców od operacji sponsorowanych przez państwa.

Jesteśmy na Google News. Dołącz do nas i śledź Strefę Biznesu codziennie. Obserwuj StrefaBiznesu.pl!