Per compromettere la posta elettronica, bastano phishing di credenziali, ingegneria sociale e sheer grit.
Senior Threat Intelligence Analyst, Microsoft Threat Intelligence
Simeon Kakpovi inizialmente voleva diventare dottore ma presto ha capito che quello non era il suo destino. "Ho cambiato studi un po' di volte e alla fine ho scelto l'informatica. Ho iniziato a interessarmi di cybersecurity perché i miei mentori lavoravano in tale settore".
Durante il secondo anno presso l'Howard University, ha seguito altre lezioni di cybersecurity in un college della comunità locale, il che lo ha infine portato alla Lockheed Martin Cyber Analyst Challenge. "Ci hanno inviato via e-mail un'unità thumb con 80 GB di dati. Quello che è successo dopo è una delle cose più divertenti mi siano mai successe".
La sfida richiedeva ai partecipanti di analizzare un'intera intrusione informatica usando l'acquisizione pacchetti e i file di memoria. "Attraverso tale processo, ho capito il quadro generale della cybersecurity e ho pensato "Mi piacerebbe fare questo per vivere"."
Questo lo ha poi portato a un tirocinio prezzo Lockheed Martin e alla co-creazione del gioco di competenze informatiche KC7. "Molte lezioni di cybersecurity sono basate su acronimi e concetti vaghi perché non hanno accesso a dati effettivi. Questo crea un problema circolare perché non puoi acquisire le competenze finché non ottieni il lavoro, ma non puoi ottenere i lavori perché non hai le competenze".
Oggi, Simeon guida il team di analisti di Microsoft che si occupano di monitorare oltre 30 gruppi iraniani. Sebbene esistano differenze nelle motivazioni e nell'attività, Simeon nota che tutti gli attori iraniani condividono un tratto comune: la tenacia.
"Abbiamo costantemente rilevato che l'Iran è tenace e paziente, desideroso di spendere sforzi, tempo e risorse per compromettere i propri target. Gli attori collegati all'Iran ci ricordano chiaramente che non serve usare exploit software zero-day o nuove tecniche offensive per avere successo. Per compromettere la posta elettronica, bastano phishingdi credenziali, ingegneria sociale e sheer grit".
"L'ingegneria sociale non è sempre semplice come potrebbe sembrare. Abbiamo visto gli attori di minaccia sfruttare i dati personali che le persone rivelano su se stesse sui social media durante le campagne di ingegneria sociale".
Ad esempio, Crimson Sandstorm usa profili di social media finti (honeypot) per colpire soggetti in base ai lavori elencati nel relativo profilo LinkedIn. Trascorsi alcuni mesi, provano a stabilire relazioni romantiche, usando i dati raccolti dai profili pubblici per creare fiducia e rapporti personali, magari inviando ai target BEC file dannosi dissimulati come video o sondaggi. Tuttavia, poiché queste relazioni si sono costruite in lunghi periodi di tempo, gli obiettivi sono stati più inclini a ignorare gli avvisi di sicurezza al momento di esecuzione dei file.
Simon osserva che gli attori di minacce iraniani sono motivati da un ampio spettro di motivazioni. "Nel monitoraggio di Mint Sandstorm e degli attacchi ad agenzie che collaborano con i governi, a volte la motivazione principale è la politica nucleare. Nel caso di think e tank o istituti accademici, la pubblicazione di informazioni critiche del governo iraniano può scatenare l'ira di un gruppo di attori di minacce. Questo suggerisce che possono conoscere il modo in cui USA o altre paesi occidentali si posizionerebbero in termini di politica e individui target con le informazioni utili al proprio governo".
Segui Microsoft Security