Få innsikt rett fra ekspertene på Microsoft Threat Intelligence Podcast. Lytt nå.
Simon Kakpovi ville opprinnelig bli lege, men oppdaget fort at det ikke var hans kall. «Jeg byttet fordypningsfag flere ganger og endte opp med informasjonsteknologi. Jeg landet på cybersikkerhet fordi jeg hadde mentorer på dette området.»
Som andreårsstudent på Howard University, tok han ekstra fag i cybersikkerhet ved en lokal utdanningsinstitusjon, noe som i siste instans sendte ham til Lockheed Martin Cyber Analyst Challenge. «De sendte en minnepinne med 80 gigabyte med data til oss. Det som skjedde videre, er noe av det artigste jeg har opplevd.»
Utfordringen krevde at deltakerne analyserte en fullstendig cyberinntrenging med pakkefanger og minnefiler. «Gjennom denne prosessen forsto jeg helheten i cybersikkerhet og tenkte at dette var noe jeg ville jobbe med.»
Dette førte til en praktikantstilling hos Lockheed Martin, og at han var med å lagde cyberferdighetsspillet KC7. «Mye av undervisningen innen cybersikkerhet foregår med akronymer og vage konsepter fordi de ikke har tilgang til de faktiske dataene. Dette skaper et sirkulært problem fordi du ikke kan skaffe deg ferdighetene før du får jobben, men du kan ikke få jobbene uten å ha ferdighetene.»
I dag leder Simeon Microsofts team med analytikere som overvåker mer enn 30 iranske grupper. Selv om de er forskjellige når det gjelder motivasjon og aktivitet, bemerker Simeon at alle iranske aktører har ett fellestrekk: målbevissthet.
«Vi har alltid ment at Iran er utholdende og tålmodig, og er villig til å bruke krefter, tid og ressurser på å kompromittere målene sine. Aktører koblet til Iran er en god påminnelse om at du ikke trenger å bruke nulldagsprogramvareutnyttelse eller nye offensive teknikker for å lykkes. For å kompromittere e-post er phishing etter legitimasjon, sosial manipulering og ren dristighet alt som trengs.»
«Sosial manipulering er ikke alltid like enkelt som det virker. Vi har sett trusselaktører utnytte de personlige opplysningene personer avslører om seg selv på sosiale medier under kampanjer for sosial manipulering.»
Crimson Sandstorm bruker for eksempel falske sosiale medieprofiler (honningfeller) som retter seg mot enkeltpersoner, basert på jobbene de har oppført på LinkedIn-profilen. Over en tidsperiode på noen få måneder prøver de å etablere romantiske relasjoner ved hjelp av informasjon som er samlet inn fra offentlige profiler, for å bygge tillit og forståelse, og sender til slutt skadelige filer til BEC-mål, som gir seg ut for være videoer eller undersøkelser. Siden disse relasjonene ble utviklet over lange tidsperioder, var det imidlertid større sannsynlighet for at målene ignorerte sikkerhetsvarsler når de kjørte filene.
Simeon observerer at iranske trusselaktører er motivert av en rekke årsaker. «Ved overvåking av Mint Sandstorm og angrep på byråer som arbeider med myndigheter, hender det at atompolitikk er drivkraften. Med tenketanker eller akademiske institusjoner kan publisering av informasjon som er kritisk for iranske myndigheter, provosere en trusselaktørgruppe. Dette tyder på at de vet hvordan USA eller andre vestlige land stiller seg når det gjelder politikk, og retter seg mot enkeltpersoner som har informasjon som er nyttig for myndighetene.»
Følg Microsoft