Simeon Kakpovi từng mong muốn trở thành bác sĩ nhưng anh sớm nhận ra đó không phải tương lai của mình. “Tôi đã đổi chuyên ngành vài lần, rồi cuối cùng lại học công nghệ thông tin. Tôi chọn an ninh mạng vì những người thầy của tôi đều làm trong lĩnh vực này.”
Là sinh viên năm 2 tại Howard University, anh đã tham gia các lớp học an ninh mạng bổ sung tại đại học cộng đồng địa phương. Nhờ đó, anh có cơ hội tham gia Thử thách Chuyên gia phân tích Mạng Lockheed Martin. “Họ gửi cho chúng tôi một chiếc USB có 80 GB dữ liệu. Những gì xảy ra tiếp theo là một trong những trải nghiệm thú vị nhất tôi từng có.”
Thử thách này yêu cầu người dự phân tích tình huống xâm nhập mạng đầy đủ bằng khả năng thu thập gói dữ liệu và tệp bộ nhớ. “Trong suốt quá trình, tôi nhận ra bức tranh toàn cảnh về an ninh mạng và nghĩ rằng ‘Mình muốn kiếm tiền từ việc này.’”
Từ đó anh đã tham gia thực tập tại Lockheed Martin và đồng sáng tạo trò chơi rèn luyện kỹ năng mạng KC7. “Rất nhiều lớp an ninh mạng giảng dạy về từ viết tắt và khái niệm mơ hồ vì họ không có quyền truy nhập vào dữ liệu thực tế. Việc đó tạo nên một vấn đề tuần hoàn, đó là bạn không thể xây dựng kỹ năng cho đến khi bạn nhận được công việc, nhưng bạn sẽ không có việc trừ phi bạn có kỹ năng.”
Bây giờ, Simeon đang dẫn dắt nhóm chuyên gia phân tích của Microsoft theo dõi hơn 30 nhóm người Iran. Mặc dù có sự khác biệt về động cơ và hoạt động, Simeon lưu ý rằng tất cả các tác nhân từ Iran đều có chung một đặc điểm: sự kiên trì.
“Chúng tôi liên tục nhận thấy các tác nhân từ Iran có tính kiên trì và kiên nhẫn, sẵn sàng dành công sức, thời gian và nguồn lực để xâm phạm các mục tiêu của họ. Các tác nhân liên quan đến Iran nhắc nhở chúng ta rằng không cần phải khai thác bằng phần mềm lỗ hổng chưa được phát hiện hay áp dụng kỹ thuật tấn công mới để đạt được thành công. Để xâm phạm email, lừa đảo qua mạng để lấy thông tin đăng nhập, lừa đảo phi kỹ thuật, tất cả những gì bạn cần là sự quyết tâm.”
“Lừa đảo phi kỹ thuật không phải lúc nào cũng đơn giản như vẻ bề ngoài. Chúng tôi đã từng thấy các tác nhân đe dọa tận dụng thông tin cá nhân mà mọi người tiết lộ về bản thân trên mạng xã hội trong các chiến dịch lừa đảo phi kỹ thuật.”
Chẳng hạn, Crimson Sandstorm sử dụng hồ sơ mạng xã hội giả (hũ mật ong) nhắm đến các cá nhân dựa trên công việc họ liệt kê trong hồ sơ LinkedIn. Sau đó, trong vài tháng, họ cố gắng tạo dựng mối quan hệ tình cảm lãng mạn, sử dụng thông tin thu thập được từ hồ sơ công khai để xây dựng lòng tin và sự thấu hiểu, cuối cùng là gửi cho mục tiêu BEC các tệp độc hại dưới dạng video hoặc khảo sát. Tuy nhiên, vì những mối quan hệ này được phát triển trong thời gian dài nên các mục tiêu có nhiều khả năng bỏ qua cảnh báo bảo mật khi họ thực thi tệp.
Simon nhận thấy các tác nhân đe dọa từ Iran có động cơ dựa trên nhiều lý do. “Khi theo dõi Mint Sandstorm và các cuộc tấn công vào cơ quan làm việc với chính phủ, đôi khi chính sách hạt nhân là yếu tố thúc đẩy. Với các tổ chức nghiên cứu hoặc tổ chức học thuật, việc công bố thông tin chỉ trích chính phủ Iran có thể khiến một nhóm tác nhân đe dọa phẫn nộ. Điều đó cho thấy họ có thể biết Hoa Kỳ hoặc các nước phương Tây khác sẽ định vị mình như thế nào về mặt chính sách và nhắm mục tiêu vào các cá nhân có thông tin hữu ích cho chính phủ của họ.”
Theo dõi Microsoft Security