Få insikter direkt från experterna i Microsoft Threat Intelligence-podden. Lyssna nu.
Simeon Kakpovi ville till en början bli läkare, men insåg snart att det var inte där hans kall låg. ”Jag bytte huvudämne ett par gånger och det blev till slut informationssystem. Jag fastnade för cybersäkerhet eftersom mina handledare jobbade inom det fältet.”
Som andraårsstudent vid Howard University läste han ytterligare cybersäkerhetskurser vid en lokal högskola, vilket så småningom tog honom till The Lockheed Martin Cyber Analyst Challenge. ”De skickade oss ett USB-minne med 80 gigabyte data. Vad som hände sedan är bland det roligaste jag någonsin upplevt.”
Utmaningen låg i att deltagarna skulle analysera ett fullskaligt cyberintrång med hjälp av paketinspelning och minnesfiler. ”Tack vare den processen fick jag en helthetsbild av cybersäkerhetsproblematiken, och jag tänkte att det här skulle jag älska att jobba med.”
Det ledde i sin tur till en praktikplats hos Lockheed Martin och till att han blev en medskaparna av cyberskicklighetsspelet KC7. ”I många kurser i cybersäkerhet bedrivs undervisningen genom att man använder sig av akronymer och vaga begrepp eftersom man inte har tillgång till faktiska data. Det skapar en moment 22-problematik eftersom du inte kan förvärva några färdigheter förrän du börjar jobba, samtidigt som du å andra sidan inte kan få något jobb om du inte besitter färdigheterna.”
Idag är Simeon chef för Microsofts team av analytiker som spårar mer än 30 iranska grupper. Även om de skiljer sig åt vad gäller motivation och typ av aktivitet, så har Simeon noterat att alla iranska aktörer har ett drag gemensamt: målmedvetenhet.
”Vi har gång på gång kunnat konstatera att iranierna är mycket ihärdiga och tålmodiga, och villiga att ägna mycket tid, kraft och resurser åt att kompromettera sina mål. Aktörer länkade till Iran utgör en viktig påminnelse om att man inte behöver utnyttja dag noll-sårbarheter eller nya offensiva tekniker för att lyckas. Om man vill kompromettera e-post är allt man behöver nätfiske efter autentiseringsuppgifter, social manipulering och ren och skär ihärdighet.”
”Social manipulering är inte alltid så enkelt som det kan framstå. Vi har sett hotaktörer utnyttja den personliga information som människor lägger ut om sig själva på sociala medier under sociala manipuleringskampanjer.”
Crimson Sandstorm använder exempelvis falska profiler i sociala medier (honungsfällor) för att rikta in sig mot personer utifrån de jobb de har angett i sina LinkedIn-profiler. Därefter, under en period på några månader, försöker de etablera romantiska relationer genom att utnyttja den information de samlat in från offrens offentliga profiler för att etablera tillit och ett gott förhållande, varefter de skickar offren e-postmeddelanden med skadliga filer maskerade som videor eller enkäter. Och eftersom dessa relationer utvecklas under lång tid så är sannolikheten relativt stor att offren ignorerar säkerhetsvarningarna när de öppnar filerna.
Simon noterar att iranska hotaktörer drivs av flera olika motivationsfaktorer. ”När vi spårade Mint Sandstorm och attacker mot organisationer som samarbetar med myndigheter, så kunde vi se att kärnvapenpolitik var en drivkraft. Tankesmedjor eller akademiska institutioner som publicerar information med kritik mot den iranska regeringen kan väcka vrede hos vissa hotaktörsgrupper. Det tyder på att de kan känna till hur USA och andra västländer kommer att positionera sig i kärnvapenfrågan, och att de kan rikta in sig på individer som sitter på information som kan vara användbar för deras regering.”
Följ Microsoft