Im Microsoft Threat Intelligence-Podcast erfahren Sie wichtige Erkenntnisse direkt von den Experten selbst. Jetzt anhören
Simeon Kakpovi wollte ursprünglich Arzt werden, merkte aber bald, dass das nicht seine Berufung war. „Ich habe mein Hauptfach ein paar Mal gewechselt und bin schließlich bei den Informationssystemen gelandet. Ich entschied mich für Cybersicherheit, weil meine Mentoren in diesem Bereich tätig waren.“
Als Student an der Howard University belegte er zusätzliche Cybersecurity-Kurse am örtlichen Community College, die ihn schließlich zur „Lockheed Martin Cyber Analyst Challenge“ führten. „Sie schickten uns einen USB-Stick mit 80 Gigabyte an Daten. Was dann geschah, war mit der größte Spaß, den ich je hatte.“
Die Herausforderung bestand darin, einen vollständigen Cyberangriff mit Hilfe von Paketaufzeichnungen und Speicherdateien zu analysieren. „Durch diesen Prozess erkannte ich das große Bild der Cybersicherheit und dachte: ‚Das würde ich gerne beruflich machen.‘“
Das führte zu einem Praktikum bei Lockheed Martin und dazu, dass er das Cyberskill-Spiel KC7 mitentwickelte. „Viele Cybersecurity-Kurse werden mit Akronymen und vagen Konzepten unterrichtet, weil sie keinen Zugang zu tatsächlichen Daten haben. Das schafft ein zirkuläres Problem, denn Sie können die Fähigkeiten nicht erwerben, bevor Sie den Job haben, aber Sie können die Jobs nicht bekommen, wenn Sie die Fähigkeiten nicht haben.“
Heute leitet Simeon das Analystenteam von Microsoft, das mehr als 30 iranische Gruppen verfolgt. Obwohl sie sich in ihrer Motivation und Aktivität unterscheiden, stellt Simeon fest, dass alle iranischen Akteure einen gemeinsamen Charakterzug haben: Hartnäckigkeit.
„Wir haben immer wieder festgestellt, dass der Iran hartnäckig und geduldig ist und bereit ist, Mühe, Zeit und Ressourcen aufzuwenden, um seine Ziele zu kompromittieren. Akteure, die mit dem Iran in Verbindung stehen, sind ein gutes Beispiel dafür, dass man keine Zero-Day-Software-Exploits oder neuartige Angriffstechniken einsetzen muss, um erfolgreich zu sein. Um E-Mails zu kompromittieren, braucht es nur Anmeldeinformationen- Phishing, Social Engineering und schiere Entschlossenheit.“
„Social Engineering ist nicht immer so einfach, wie es scheinen mag. Wir haben gesehen, wie Bedrohungsakteure die persönlichen Informationen, die Menschen in sozialen Medien von sich preisgeben, für Social-Engineering-Kampagnen genutzt haben.“
Crimson Sandstorm verwendet zum Beispiel gefälschte Social Media-Profile („Honeypots“), die auf Personen abzielen, die in ihrem LinkedIn-Profil eine Stelle angegeben haben. Über einen Zeitraum von einigen Monaten versuchen sie dann, romantische Beziehungen aufzubauen, indem sie Informationen aus öffentlichen Profilen nutzen, um Vertrauen und Beziehungen aufzubauen, und schließlich BEC-Zielen schädliche Dateien schicken, die als Videos oder Umfragen getarnt sind. Da diese Beziehungen jedoch über lange Zeiträume hinweg aufgebaut wurden, war es wahrscheinlicher, dass die Zielpersonen bei der Ausführung der Dateien die Sicherheitswarnungen ignorierten.
Simon stellt fest, dass iranische Bedrohungsakteure durch ein breites Spektrum von Gründen motiviert sind. „Bei der Verfolgung von Mint Sandstorm und Angriffen auf Behörden, die mit Regierungen zusammenarbeiten, ist manchmal die Atompolitik die treibende Kraft. Bei Think Tanks oder akademischen Einrichtungen kann die Veröffentlichung von Informationen, die die iranische Regierung kritisieren, den Zorn einer Gruppe von Bedrohungsakteuren auf sich ziehen. Das deutet darauf hin, dass sie möglicherweise wissen, wie sich die USA oder andere westliche Länder politisch positionieren werden und Personen mit Informationen anvisieren, die für ihre Regierung nützlich sind.“
Microsoft folgen