Posłuchaj opinii ekspertów w podkaście dotyczącym analizy zagrożeń Microsoft. Posłuchaj teraz.
Simeon Kakpovi najpierw chciał zostać lekarzem, ale szybko zdał sobie sprawę, że to nie jest jego powołanie. „Kilka razy zmieniałem kierunek i ostatecznie zająłem się systemami informatycznymi. Wybrałem cyberbezpieczeństwo, ponieważ zajmowali się nim moi mentorzy”.
Jako student drugiego roku na Uniwersytecie Howarda wziął udział w dodatkowych zajęciach z cyberbezpieczeństwa w lokalnym koledżu dwuletnim (tzw. community college), co ostatecznie doprowadziło go do wzięcia udziału w konkursie Lockheed Martin Cyber Analyst Challenge. „Wysłali nam pendrive z 80 gigabajtami danych. To, co wydarzyło się później, to jedna z najfajniejszych rzeczy, jakie w życiu robiłem”.
Wyzwanie konkursowe wymagało od uczestników przeanalizowania całego cyberwłamania przy użyciu przechwytywania pakietów i plików pamięci. „Dzięki temu procesowi uzyskałem szerszy obraz cyberbezpieczeństwa i pomyślałem sobie «Chciałbym w ten sposób zarabiać na życie»”.
Zaowocowało to stażem w firmie Lockheed Martin i udziałem w utworzeniu gry rozwijającej umiejętności z zakresu cyberbezpieczeństwa: KC7. „W ramach wielu zajęć z cyberbezpieczeństwa stosuje się akronimy i niejasne pojęcia, ponieważ nie używa się dostępu do rzeczywistych danych. Wytwarza to problem błędnego koła, ponieważ nie można zdobyć umiejętności, dopóki nie zdobędzie się pracy, ale nie można zdobyć pracy, jeśli nie ma się umiejętności”.
Dziś Simeon kieruje zespołem analityków firmy Microsoft monitorującym ponad 30 irańskich grup. Mimo że irańskie źródła zagrożeń różnią się motywacjami i aktywnością, Simeon zwraca uwagę na to, że wszystkie one mają wspólną cechę: wytrwałość.
„Niezmiennie stwierdzamy, że Iran jest wytrwały i cierpliwy, gotowy poświęcić wysiłek, czas i zasoby, aby naruszyć zabezpieczenia celów. Źródła zagrożeń powiązane z Iranem stanowią dobre przypomnienie o tym, że aby odnieść sukces, nie trzeba stosować programów wykorzystujących luki zero-day w oprogramowaniu ani nowatorskich technik ataku. Aby naruszyć zabezpieczenia poczty e-mail, wystarczą wyłudzenie poświadczeń, inżynieria społeczna i zwykła determinacja”.
„Inżynieria społeczna nie zawsze jest tak prosta, jak mogłoby się wydawać. Obserwowaliśmy, jak źródła zagrożeń wykorzystują dane osobowe, które ludzie ujawniają na swój temat w mediach społecznościowych, podczas kampanii z wykorzystaniem inżynierii społecznej”.
Na przykład grupa Crimson Sandstorm korzysta z fałszywych profilów w mediach społecznościowych (pułapek honeypot) wycelowanych w osoby na podstawie informacji o ich pracy, które te osoby podały w profilach w serwisie LinkedIn. Następnie w ciągu kilku miesięcy grupa próbuje nawiązać relacje romantyczne, wykorzystując informacje zebrane z profilów publicznych do wytworzenia zaufania i porozumienia. Ostatecznie grupa wysyła celom ataków BEC złośliwe pliki wyglądające na filmy lub ankiety. Ponieważ jednak te relacje rozwijano przez długi czas, osoby będące celem ataków są bardziej skłonne do ignorowania alertów zabezpieczeń podczas wykonywania tych plików.
Simon stwierdza, że irańskie źródła zagrożeń motywuje szeroka gama czynników. „W przypadku śledzenia grupy Mint Sandstorm i ataków na agencje współpracujące z rządami czasami wiodącą rolę odgrywa polityka nuklearna. Jeśli chodzi o think tanki lub instytucje akademickie, gniew grupy będącej źródłem zagrożenia może wywołać opublikowanie informacji krytycznych wobec irańskiego rządu. Sugeruje to, że grupy takie mogą wiedzieć, jakie stanowisko polityczne zajmą Stany Zjednoczone lub inne kraje zachodnie, i za cel ataku wybiorą osoby mające informacje przydatne dla ich rządu”.
Obserwuj firmę Microsoft