Симеон Какпови първоначално е искал да бъде доктор, но скоро е разбрал, че това не е неговото призвание. „Сменях специалността си няколко пъти и накрая записах информационни технологии. Озовах се в киберсигурност, защото ръководителите ми бяха в тази сфера.“
Като второкурсник в университета Хауърд той е посещавал допълнителни часове по киберсигурност в местния колеж, което в крайна сметка го е довело до предизвикателството Lockheed Martin Cyber Analyst. „Изпратиха ни флашки със 80 гигабайта данни. Това, което се случи след това, е най-забавното ми преживяване някога.“
Предизвикателството изискваше от участниците да анализират цяло киберпроникване, като използват заснемане на пакет и файлове на паметта. „Чрез този процес разбрах голямата картина на киберсигурността и си помислих, че бих се радвал да работя това.“
Това доведе до стаж в Lockheed Martin, а оттам – до съвместното създаване на играта за киберумения KC7. „Много класове за киберсигурност се преподават с акроними и неясни понятия, защото нямат достъп до действителни данни. Това създава проблем в затворен кръг, защото не можеш да получиш уменията, докато не получиш работата, но не можеш да получиш работата, ако нямаш уменията.“
Днес Симеон води екип от анализатори на Microsoft, който следи повече от 30 ирански групи. Въпреки че се различават в мотивацията и дейността си, Симеон забелязва, че всички ирански извършители на атаки споделят обща черта: упоритост.
„Последователно откриваме, че Иран е упорит и търпелив, готов да положи усилие, време и ресурси, за да компрометира целите си. Извършителите, свързани с Иран, ни припомнят, че не е нужно да използвате троянски коне за уязвимости на софтуера от нулевия ден, нито нови техники за офанзива, за да сте успешни. За да компрометират имейл, всичко, което се изисква са фишинг за идентификационни данни, социално инженерство и кураж.“
„Социалното инженерство не винаги е толкова лесно, колкото може да изглежда. Виждали сме извършителите на заплахи да се възползват от личната информация, която хората разкриват за себе си в социалните мрежи по време на кампании за социално инженерство.“
Например Crimson Sandstorm използва фалшиви профили в социалните мрежи (гърненца с мед), които се целят в хора въз основа на работата, която са посочили в профилите си в LinkedIn. След това, за период от няколко месеца, се опитват да създадат романтични взаимоотношения, като използват информация, събрана от публични профили, за да изградят доверие и разбирателство, а накрая изпращат на BEC целите злонамерени файлове, замаскирани като видеоклипове или проучвания. Но той като тези взаимоотношения се развиват през дълъг период от време, целите са по-склонни да пренебрегнат известяванията на защитата, когато изпълняват тези файлове.
Симеон забелязва, че иранските извършители на заплахи са по-мотивирани от широк спектър от причини. „Когато проследявахме Mint Sandstorm и атаките над агенции, работещи с правителства, понякога ядрената политика е причината. С аналитични центрове или академични институции, публикуването на информация, която е важна за иранското правителство, може да разгневи някоя група на извършители, представляващи заплаха. Това предполага, че те може да знаят каква позиция ще заемат САЩ или други западни страни по отношение на политиката и се прицелват в хора с информация, която е полезна за правителството им.“
Следвайте Microsoft Security