Щоб уразити електронну пошту, достатньо фішингу облікових даних, соціотехніки й трохи витримки.
Сімеон Какпові
Старший аналітик кіберзагроз, Аналіз загроз Microsoft
Старший аналітик кіберзагроз, Аналіз загроз Microsoft
Дізнавайтеся аналітику безпосередньо від експертів у подкасті Аналізу загроз Microsoft. Прослухати.
Експерт: Сімеон Какпові
Старший аналітик кіберзагроз, Аналіз загроз Microsoft
Сімеон Какпові хотів стати лікарем, але згодом зрозумів, що це не його покликання. "Я кілька разів змінював спеціальність і нарешті почав вивчати інформаційні системи. Зупинився на кібербезпеці, тому що в цій галузі працювали мої наставники".
Під час випускного року в Говардському університеті він пройшов додатковий курс у місцевому громадському коледжі, що привело його на конкурс кібераналітиків компанії Martin Cyber. "Нам надіслали поштою флеш-накопичувач із 80 гігабайтами даних. А далі сталася найцікавіша подія в моєму житті".
Учасники конкурсу мали зробити повний аналіз кібератаки за допомогою записування пакетів і файлів пам’яті. "У процесі я отримав загальне розуміння про кібербезпеку й подумав, що хочу заробляти цим на життя".
Після конкурсу розпочалося стажування в компанії Lockheed Martin і співпраця над грою KC7, яка навчає кібербезпеці. "На багатьох курсах із кібербезпеки використовують абревіатури й розмиті поняття через брак фактичних даних. Так виникає порочне коло, тому що неможливо здобути навички, доки не отримаєш роботи. Але ніхто не хоче брати на роботу спеціаліста без досвіду".
Сьогодні Сімеон очолює в корпорації Майкрософт команду аналітиків, яка стежить за 30 іранськими групами хакерів. Хоч їхні мотиви й дії різняться, Сімеон стверджує, що всі іранські джерела загроз мають спільну рису – наполегливість.
"З часом ми переконалися, що Іран послідовно й наполегливо витрачає час, зусилля й ресурси на те, щоб уразити свої цілі. Пов’язані з Іраном джерела загроз є гарним нагадування про те, що для успіху зловмисникам не обов’язково володіти новітнім програмним забезпеченням і застосовувати передові методи. Щоб уразити електронну пошту достатньо фішингу облікових даних, соціотехніки й трохи витримки".
"Соціотехніка не завжди така проста, як здається. Ми бачили, як джерела загроз використовували персональні дані, які люди повідомляють у соціальних мережах, під час кампаній із застосуванням соціотехнік".
Наприклад, за допомогою фальшивих профілів у соціальних мережах (приманок) хакери Crimson Sandstorm атакують користувачів на основі даних про їхню професійну діяльність із профілю в LinkedIn. Протягом кількох місяців вони намагаються збудувати романтичні стосунки, використовуючи відомості із загальнодоступних профілів. А коли налагоджують певну довіру, надсилають своїм BEC-цілям шкідливі файли, замасковані під відеокліпи або опитування. Однак користувачі, які вже протягом довгого часу спілкуються зі зловмисниками й довіряють їм, найімовірніше ігнорують сповіщення системи безпеки, коли отримують такі файли.
Саймон помітив, що іранські джерела загроз мають різні причини для атак. "Якщо говорити про діяльність суб’єкта Mint Sandstorm й атаки на агентства, що співпрацюють з урядом, то рушійною силою для цих зловмисників іноді є ядерна політика. Коли аналітичний центр або навчальний заклад публікує інформацію з критикою іранського уряду, це викликає гнівну реакцію з боку хакерських груп. Виникає припущення, що зловмисники можуть наперед знати позицію США або інших західних країн щодо певних політичних рішень, і націлюються на окремих людей, які мають корисну для іранського уряду".
Підпишіться на Microsoft