Få indsigt direkte fra eksperterne i Microsoft Threat Intelligence-podcasten. Lyt nu.
Simeon Kakpovi ville oprindeligt være læge, men han fandt hurtigt ud af, at det ikke var hans kald. "Jeg skiftede hovedfag nogle få gange og endte med informationsteknologi. Jeg landede på cybersikkerhed, fordi mine mentorer var inden for det felt."
Som andet-årsstuderende på Howard University tog han imod yderligere undervisning i cybersikkerhed ved det lokale erhvervsakademi, hvilket til sidst førte ham til Lockheed Martin Cyber Analyst Challenge. "De sendte os et USB-drev med 80 gigabyte data til os via mail. Det næste, der skete, er noget af de sjoveste, jeg nogensinde har prøvet."
Udfordringen krævede, at deltagerne skulle analysere en komplet cyberindtrængen med pakkeopfangelse og hukommelsesfiler. "Gennem denne proces forstod jeg, hvad cybersikkerhed virkelig omfatter, og jeg tænkte: 'Jeg ville elske at leve af det her.'"
Det førte til en traineestilling hos Lockheed Martin, og han var med til at udvikle cyberfærdighedsspillet KC7. "Meget undervisning i cybersikkerhed involverer forkortelser og vagt definerede koncepter, fordi de ikke har adgang til faktiske data. Det skaber et cirkulært problem, fordi du ikke kan få færdighederne, før du får jobbet, men du kan ikke få jobbet, med mindre du har færdighederne."
I dag leder Simeon Microsofts analytikerteam i sporingen af mere end 30 iranske grupper. Selvom deres motivation og aktivitet er vidt forskellige, bemærker Simeon, at alle iranske aktører deler et fællestræk: vedholdenhed.
"Vi har igen og igen set, at Iran er vedholdende og tålmodig, villig til at bruge kræfter, tid og ressourcer på at kompromittere deres mål. Iranskforbundne aktører er en god påmindelse om, at du ikke nødvendigvis skal bruge software, der udnytter zero-day-sårbarheder eller nye angrebsteknikker for at lykkes. For at kompromittere mail, udføre phishing med legitimationsoplysninger som mål og social engineering kræves intet andet end en stærk vilje."
"Social engineering er ikke altid så enkelt som det kan se ud til. Vi har set trusselsaktører gøre brug af de personlige oplysninger, som folk afslører om sig selv på sociale medier under social engineering-kampagner."
Crimson Sandstorm bruger f.eks. falske profiler på sociale medier (honey pots), der retter sig mod enkeltpersoner baseret på de jobs, de har angivet på deres LinkedIn-profil. I løbet af en periode på nogle få måneder forsøger de så at starte romantiske forhold ved at bruge efterretninger indsamlet fra offentlige profiler til at opbygge tillid og forbindelse, hvorefter de endeligt sender BEC-målene ondsindede filer forklædt som videoer eller undersøgelser. Men fordi disse forhold blev udviklet over længere tid, var målene mere tilbøjelige til at ignorere sikkerhedsadvarsler, når de kørte filerne.
Simeon observerer, at iranske trusselsaktører er motiveret af en lang række forskellige grunde. "Ved sporing af Mint Sandstorm og angreb på agenturer, der samarbejder med regeringer, var atompolitik sommetider det, der drev værket. For så vidt angår tænketanke eller akademiske institutioner kan publicering af oplysninger, der er kritiske over for den iranske regering fremkalde en trusselsaktørgruppes vrede. Dette tyder på, at de kan vide, hvordan USA eller andre vestlige lande vil positionere sig selv hvad angår politik, eller at de målretter mod enkeltpersoner med oplysninger, der er nyttige for deres regering."
Følg Microsoft