Viettel „Hacker“ macht seinen Namen auf der Weltkarte bekannt

Am 27. Oktober um mehr als 1:00 Uhr morgens explodierte im noch beleuchteten Raum der Viettel Cyber ​​​​Security Company (VCS) die Freude der 14 Mitglieder des VCS-Teams: Das Team hat die Meisterschaft des weltweit größten und prestigeträchtigsten Cyberangriffswettbewerbs Pwn2Own 2023 gewonnen.

Es war nicht nur das erwartete Ergebnis dreier Monate ununterbrochener Arbeit des gesamten Teams Tag und Nacht und eines harten Wettbewerbs gegen die stärksten Gegner aus aller Welt !

Das ist nicht nur die erste süße Frucht für das jüngste Mitglied des Teams, Do Anh Dung, Jahrgang 2003, derzeit Student im dritten Jahr an der University of Technology (VNU)!

Für Mitglieder wie Ngo Anh Huy, Nguyen Xuan Hoang und Nguyen Hong Quang, die sich seit mehreren Jahren an diesem Turnier versuchen, ist es nicht nur der Wunsch, die höchste Position im Wettbewerb zu erreichen!

Es ist außerdem eine Ehre, dem Land bei einem der prestigeträchtigsten Wettbewerbe der Welt die höchste Platzierung zu verschaffen und damit die Leistungsfähigkeit der Vietnamesen im Bereich Informationssicherheit und -schutz zu bestätigen.

Und vor allem ist es die „süße Frucht“, die aus den Samen geerntet wurde, die Viettel vor vielen Jahren beharrlich gepflanzt hat. Bis heute kann Viettel mit VCS und einem Team von Informationssicherheitsexperten stolz darauf sein, eines der weltweit führenden Unternehmen im Bereich Informationssicherheit und -schutz zu sein.

Die 14 Mitglieder des VCS-Teams, das die Pwn2Own 2023-Meisterschaft gewonnen hat, sind alle sehr jung. Die meisten Mitglieder stammen aus der 9x-Generation, das jüngste Mitglied wurde erst 2003 geboren.

Die meisten Teammitglieder sind jedoch schon seit vielen Jahren im Einsatz und verfügen über umfangreiche Erfahrungen und Erfolge im Bereich Informationssicherheit. Sogar das jüngste Teammitglied, Do Anh Dung, hat sich bereits durchgesetzt: Dung ist derjenige, der in diesem Wettbewerb ein Wunder vollbracht hat, indem er eine Kategorie gewonnen hat, die zum Gesamtergebnis des gesamten Teams beiträgt.

Am Ende der Finalrunde am Abend des 27. Oktober gewann das Team von Viettel Cyber ​​​​Security (VCS) mit 30 Master of Pwn-Punkten offiziell die höchste Punktzahl und ließ den Abstand zum zweitplatzierten Team bei 12,75 Punkten.

Mit diesem überzeugenden Ergebnis sicherte sich VCS den Meistertitel gegen zahlreiche internationale Gegner, die als starke Kandidaten für den Turniersieg galten, wie beispielsweise Sea Security (Singapur), Vupen, Synacktiv (Frankreich) und Devcore (Taiwan – letztjähriges Meisterteam) …

VCS-Teammitglied Ha Anh Hoang berichtete über die Herausforderungen bei der Vorbereitung des Wettbewerbs: „Drei Monate vor dem Wettbewerb gab das Organisationskomitee die zu erobernden Geräte bekannt. Die Vorbereitungszeit betrug daher nur drei Monate, da das Team die zu erforschenden Geräte zu diesem Zeitpunkt gerade erst gekauft hatte. Viele Geräte mussten aus dem Ausland importiert werden, und es dauerte einen ganzen Monat, bis sie in Vietnam eintrafen.“

Ein weiteres Teammitglied, Nguyen Xuan Hoang, meint dazu: „Die Teilnehmer des Wettbewerbs nehmen schon seit langer Zeit teil. Sie verfügen über viel Erfahrung und sind sowohl finanziell als auch beruflich sehr stark. Das Team VCS ist entschlossen, mit größter Sorgfalt, Solidarität und einer geeigneten Wettbewerbsstrategie an dem Wettbewerb teilzunehmen, um in diesem Jahr den größtmöglichen Erfolg zu erzielen.“

Hoang fügte hinzu, dass das VCS-Team im letzten Jahr den zweiten Platz in diesem Wettbewerb belegte und mit einem Ergebnis, das dem des Meisterteams sehr nahe kam, nur 2,5 Punkte hinter ihm lag. Daher ist das Team entschlossen, in diesem Jahr den Meistertitel anzustreben.

Doch der Weg zur Meisterschaft ist nicht einfach: Die Angriffsziele in diesem Wettbewerb sind alle gängigen Geräte und Softwareprogramme der Welt, von führenden Herstellern wie Microsoft, Apple, Google, Samsung... – teilte Nguyen Xuan Hoang mit.

Um die Anforderungen des Wettbewerbs zu erfüllen, musste das Gerät aus den USA bestellt werden. Doch in einem Moment der Unachtsamkeit „starb“ das Gerät, weil es eine für den US-Markt geeignete 110-V-Stromquelle verwendete, während in Vietnam 220 V verwendet werden.

Laut Ngo Anh Huy, einem Mitglied, das bereits viermal an diesem Wettbewerb teilgenommen hat, besteht die größte Angst des Teams darin, dass es zu doppelten Fehlern kommt oder dass der Hersteller nicht rechtzeitig die vom Team gemeldeten Sicherheitslücken schließt. Im letzten Jahr nahm das Viettel-Team am Wettbewerb teil und belegte nur den zweiten Platz, da ihm für eine doppelte Sicherheitslücke Punkte abgezogen wurden.

Darüber hinaus kam die Herausforderung in letzter Minute: Aufgrund der Verzögerung bei der Visaerteilung konnte das gesamte Team nicht rechtzeitig nach Toronto (Kanada) kommen, um persönlich am Wettbewerb teilzunehmen. Stattdessen mussten die 14 Mitglieder des VCS-Teams online antreten und hatten große Angst vor möglichen Problemen, die während des Wettbewerbs nicht gelöst werden konnten …

Aber das Endergebnis sagte alles … Das VCS-Team hat nicht nur gewonnen, sondern auch einen spektakulären Sieg errungen.

„Als wir die zehn Finalisten der Kategorie mit den höchsten Punkten gewannen, brach das ganze Team in Freude und Glück aus, weil wir bewiesen hatten, dass diese Meisterschaft ohne Zweifel ein überzeugender Sieg war“, erinnerte sich Nguyen Xuan Hoang stolz an diesen Moment.

Nachdem das VCS-Team in den letzten vier Jahren kontinuierlich an Pwn2Own teilgenommen hatte, gewann es zum ersten Mal die Pwn2Own-Meisterschaft. Dabei handelt es sich um einen Angriffswettbewerb für Software und Unterhaltungselektronik, der zweimal jährlich von der Cybersicherheitsorganisation Zero Day Initiative veranstaltet wird und zu den „schwierigsten“ Cybersicherheitswettbewerben der heutigen Welt zählt.

Herr Nguyen Son Hai, Direktor von VCS, sagte, dass Viettel 2020 in der Kategorie SmartTV seinen ersten Sieg auf diesem „Spielplatz“ errang. 2021 schaffte es Viettel in die Top 5. 2022 belegte es den zweiten Platz. Und in diesem Jahr gewann das Unternehmen mit einem überwältigenden Ergebnis die Meisterschaft.

An Pwn2Own nehmen nicht nur namhafte Cybersicherheitsteams aus aller Welt teil, sondern auch große Hersteller und Technologiekonzerne aus aller Welt. Jede Prüfung enthält Fragen zu gängigen Software- und Hardwaregeräten wie Windows-Betriebssystemen, Apple-, Xiaomi- und Samsung-Telefonen oder Canon- und HP-Druckern.

Die Teams konkurrieren darum, unbekannte Sicherheitslücken in Software und Geräten zu finden und müssen innerhalb von 30 Minuten die Live-Ausnutzung dieser Schwachstellen demonstrieren.

„Warum können wir sagen, dass die Gegner nicht nur andere Sicherheitsexpertengruppen sind, sondern auch Gerätehersteller wie Apple, Xiaomi, Canon, TP Link …, weil sie es hassen, wenn bekannt wird, dass ihre Geräte Schwachstellen haben, und dadurch das Vertrauen der Kunden verlieren. Diese Gerätelieferanten haben immer ein Sicherheitsteam und sind bereit, große Summen zu zahlen, um die Fehler ihrer Produkte zu beheben, bevor der Wettbewerb stattfindet, damit die Produkte nicht vor der Öffentlichkeit bloßgestellt werden“, teilte Experte Nguyen Hong Quang, ein Mitglied des VCS-Teams, Tuoi Tre mit.

Daher wird der Wettbewerb von der Eröffnung bis zur letzten Minute intensiv sein. Denn es ist durchaus möglich, dass die Teams die Schwachstellen entdecken, der Hersteller sie aber kurz vor dem Wettkampftag plötzlich schließt, wodurch alle Anstrengungen und Erfolge des Teams zunichte gemacht werden.

Daher mussten wir „kurz vor der Aufführungszeit Tag und Nacht im Schichtdienst ‚beobachten‘, ob die von uns entdeckten Schwachstellen noch vorhanden waren oder nicht, und den Hersteller genau beobachten, um zu sehen, ob er die von uns entdeckten Fehler behoben hatte oder nicht“, sagte Ngo Anh Huy, ein erfahrener Pwn2Own-Spieler des VCS-Teams.

Der Pwn2Own 2023 Toronto-Wettbewerb konzentriert sich auf Hardware und umfasst Kategorien wie Mobiltelefone, Smart Speaker, Überwachungssysteme, vernetzte Speichersysteme und Büroelektronik. In jeder Kategorie gibt es Preise zwischen 30.000 und 100.000 US-Dollar und eine Punktzahl zwischen 2 und 10 Punkten, abhängig vom Schwierigkeitsgrad des Geräts und dem Grad der Vollständigkeit der Angriffsdemonstration.

Die wertvollste Kategorie, sowohl was Preise als auch Punkte angeht, ist die letzte Kategorie, Mash-up. Hier müssen die Teams Exploit-Code auf einem der vorgegebenen Netzwerkrouter des Wettbewerbs ausführen und so ein Gerät in den oben genannten Kategorien angreifen. Dafür winken 100.000 US-Dollar und 10 Punkte.

Nach dem Absolvieren der einzelnen Kategorien und dem erfolgreichen Angriff auf die Telefongeräte Xiaomi 13 Pro, das Speichersystem QNAP TS 464, den Drucker Canon imageClass MF753Cdw und den Lautsprecher Sonos Era 100 erzielte das VCS-Team 20 Punkte und hat damit fast sicher die Meisterschaft gewonnen, da der Gegner Sea Security nach Absolvieren aller einzelnen Kategorien und der kombinierten Kategorie nur 17,25 Punkte erzielte.

Der Wettbewerbsdruck ist zwar nicht mehr so ​​groß, aber die letzte Kategorie beschäftigt die VCS-Ingenieure noch immer, denn die fehlenden Punkte im Mash-up-Wettbewerb waren der Grund, warum das Team im letzten Jahr die Meisterschaft verpasste. „Da wir dieses Mal in der Smash-up-Kategorie antreten, sind wir bei der Auslosung für die nächste Runde weiterhin im Nachteil. Wenn wir die gleiche Lücke wie das vorherige Team haben, werden uns Punkte abgezogen“, erklärte Ngo Anh Huy. Ein solcher doppelter Fehler führte dazu, dass VCS im letzten Jahr bei Pwn2Own 2,5 Punkte hinter dem erstplatzierten Team lag.

„In diesem Jahr haben wir nicht nur versucht, neue Schwachstellen auszunutzen, sondern auch bewusst Schwachstellen ausgewählt, die sehr schwer zu finden und schwer mit anderen Teams zu überlappen waren, oder die leicht zu finden, aber schwer auszunutzen waren, und wir hatten viele Backup-Pläne. Dies ist das Ergebnis dreimonatiger konzentrierter Forschung des gesamten Teams“, sagte Huy.

Infolgedessen erzielte das VCS-Team 10/10 Punkte in der kombinierten Kategorie und gewann die Gesamtmeisterschaft mit einer Gesamtpunktzahl von 30, 12,5 Punkte mehr als der Zweitplatzierte, und gewann damit spektakulär und vollständig.

„Wir haben uns für Pwn2Own entschieden, um unsere Fähigkeiten zu testen, da es sich um einen Wettbewerb auf den beliebtesten Geräten der Welt führender Hersteller mit einem strengen Testverfahren handelt“, sagte Nguyen Son Hai, Direktor von VCS. „Die Investition in ein spezialisiertes Forschungsteam und die Erprobung auf internationaler Ebene sind Teil der Bemühungen von VCS, seine Personalressourcen zu entwickeln.“

Der Weg des VCS-Teams zur Pwn2Own-Meisterschaft 2023 ist das Ergebnis einer langen, ererbten Reise und eine anschauliche Demonstration der Vision der führenden Köpfe der Viettel Group im Bereich Informationssicherheit, die sie vor vielen Jahren hatten.

Vor über einem Jahrzehnt, als VCS-Direktor Nguyen Son Hai noch im gleichen Alter war wie die aktuellen Mitglieder des Pwn2Own 2023-Championteams, waren die Führungskräfte der Viettel Group entschlossen, in den Bereich Informationssicherheit zu investieren.

Die ersten Samen für ein junges Feld wurden bald gepflanzt und von Viettel systematisch und strategisch gepflegt.

Die intensive Forschungsarbeit von VCS begann bereits in den Anfangsjahren, als zunächst nur sechs Personen an der Informationssicherheit arbeiteten. Seit 2011 führt das VCS-Team simulierte Angriffe mit Einheiten der Viettel Group durch, um Sicherheitslücken aufzuzeigen.

„Viettel betreibt kritische Infrastrukturen und hat daher eine Forschungsvision, die die Netzwerksicherheit als einen Eckpfeiler betrachtet“, so Son Hai. „Bei der Netzwerksicherheit sind die Menschen der wichtigste Faktor. Selbst wenn man die weltweit besten Produkte nutzt, aber nur als Endbenutzer, ist das Angriffsrisiko immer noch sehr hoch. Gleichzeitig sind Viettels kritische Infrastrukturen wie Mobilfunk und Internet das Ziel von Angriffen der größten Konzerne der Welt.“

Um ein Expertenteam zum Schutz kritischer Infrastrukturen aufzubauen, will VCS Cybersicherheitspersonal mit einer Kapazität ausbilden, die der weltweiten entspricht. Von 2015 bis heute haben Viettel und VCS 450 Studenten ausgebildet, von denen 5 % der am besten geeigneten Mitarbeiter eingestellt wurden, um weiter zu arbeiten, sagte Herr Hai.

„Nachdem wir ein Expertenteam aufgebaut und in gründliche Forschung investiert haben, suchen wir weiterhin nach Möglichkeiten, in die Verbesserung der Angriffsfähigkeiten des VCS-Expertenteams zu investieren. Diesem Zweck dient auch die Teilnahme an Weltklasse-Wettbewerben“, sagte Herr Nguyen Son Hai.

Im Jahr 2013 begann VCS mit der Erforschung von Zero-Day-Schwachstellen. Dabei handelt es sich um unbekannte und ungepatchte Schwachstellen, die besonders kostspielig waren. Anh Huy und Hong Quang waren zwei der ersten Spezialisten für diese Schwachstellen. Bereits 2015 fand das VCS-Team die ersten Schwachstellen. Bis heute hat VCS 400 Schwachstellen entdeckt.

„Kein vietnamesisches Unternehmen hat eine solche Zahl erreicht, und auch nicht viele auf der Welt“, sagte Herr Hai.

Die Möglichkeit, sich durch die Teilnahme an intensiver Forschung weiterzubilden, ist der Grund, warum VCS zu einem attraktiven Arbeitgeber für Cybersicherheitsexperten geworden ist, die kürzlich bei Pwn2Own den ersten Platz belegten. Auf die Frage, warum er sich für Viettel entschieden hat, antwortete Anh Huy: „Meiner Erfahrung nach sind nicht viele Unternehmen bereit, langfristig in Cybersicherheitsforschung und Forschungsteams zu investieren.“

„Gerade im Bereich der Cybersicherheit ist der menschliche Faktor von größter Bedeutung. Daher ist VCS stets darauf bedacht, das Team zu schulen, zu verbessern und die nächste Generation hochqualifizierter Mitarbeiter aufzubauen, die stets für internationale Probleme bereit sind“, betonte VCS-Direktor Nguyen Son Hai.

Bei der Zeremonie zu Ehren und Glückwünschen für die am Wettbewerb teilnehmenden Teammitglieder brachte Tao Duc Thang, Vorsitzender und Generaldirektor der Viettel Group, seinen Stolz auf die „White Hat Hacker“ von Viettel zum Ausdruck. Er bekräftigte: „Viettel ist stolz darauf, dass das VCS-Team den prestigeträchtigen Preis im Bereich der globalen Cybersicherheit gewonnen hat und dabei mit den weltweit führenden Geräteherstellern mit großen F&E-Abteilungen konkurriert hat.“

Der Leiter der Viettel Group bewertete: „Pwn2Own ist ein prestigeträchtiger Wettbewerb mit einem sehr hohen Schwierigkeitsgrad für jeden Hacker. Der Wettbewerb ist vergleichbar mit einem ‚Kampf‘ mit Herstellern, die über die weltweit besten Informationssicherheitsteams verfügen, die bis zur letzten Minute bereit sind, auf Hackerangriffe zu reagieren. Ein Spiel ohne Altersbeschränkung, das sogar multinationale Zusammenarbeit beinhalten kann …“. Daher sagte Herr Tao Duc Thang stolz: „Die Pwn2Own-Meisterschaft 2023 hat Viettel und Vietnam auf der internationalen Bühne berühmt gemacht“, sagte der Vorsitzende der Gruppe.

Vorsitzender Tao Duc Thang räumte auch ein, dass das Feld der Cybersicherheit riesig sei, für die Experten von Viettel ein langer Weg vor sich gehe und viele Herausforderungen bevorstünden.

„Es ist nicht einfach, die Top-1-Position zu halten. Deshalb müssen wir weiterhin härter arbeiten und große Träume haben. Wir müssen ständig danach streben, den Traum wahr werden zu lassen und Vietnam der Welt näherzubringen“, betonte Herr Tao Duc Thang.

Der Vorsitzende der Viettel Group teilte außerdem mit, dass die Gruppe in der kommenden Zeit spezielle Maßnahmen ergreifen werde, um hochqualifizierte Mitarbeiter auszubilden, damit diese sich weiterhin voller Selbstvertrauen ihrer Arbeit widmen können.

Als er VCS die Aufgabe übertrug, betonte Herr Tao Duc Thang, dass VCS weiterhin mehr Sicherheitsexperten ausbilden müsse und entschlossen sei, der nächsten Generation die beste Grundlage zu geben, damit sie nicht nur dem Unternehmen, sondern auch dem Land dienen und die Nation im Cyberspace schützen könne.