וייטל "האקר" שם את שמו על מפת העולם

יותר משעה 1:00 לפנות בוקר ב-27 באוקטובר, בחדר המואר עדיין של חברת אבטחת הסייבר וייטל (VCS), 14 מחברי צוות VCS התפוצצו משמחה: הצוות זכה באליפות תחרות מתקפות הסייבר הגדולה והיוקרתית בעולם Pwn2Own 2023.

זו לא הייתה רק התוצאה הצפויה של שלושה חודשי עבודה רצופה יום ולילה על ידי כל הצוות ותחרות איתנה מול היריבים החזקים ביותר מכל רחבי העולם !

זה לא רק הפרי המתוק הראשון של החבר הצעיר ביותר בצוות, דו אן דונג, יליד 2003, כיום סטודנט שנה ג' באוניברסיטה לטכנולוגיה (VNU)!

זה לא רק הרצון להגיע למקום הגבוה ביותר בתחרות עבור חברים כמו נגו אן הוי, נגוין שואן הואנג, נגוין הונג קוואנג... שניסו את מזלם בטורניר הזה במשך מספר שנים!

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 1.

זהו גם כבוד להביא למדינה את המיקום הגבוה ביותר באחת התחרויות היוקרתיות ביותר בעולם, מה שמאשר את יכולתם של העם הווייטנאמי בתחום אבטחת המידע ובטיחותו.

ומעל הכל, זהו "הפרי המתוק" שנקטף מהזרעים ש- Viettel שתלה בעקשנות לפני שנים רבות. עד היום, Viettel, עם VCS וצוות מומחי אבטחת מידע, יכולה להיות גאה להיות אחת החברות המובילות בעולם בתחום אבטחת מידע ובטיחות.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 2.

14 חברי קבוצת VCS שזכתה באליפות Pwn2Own 2023 הם כולם צעירים מאוד. רוב החברים הם מדור 9x, החבר הצעיר ביותר נולד רק בשנת 2003.

אבל רוב חברי הצוות "נלחמים" כבר שנים רבות, בעלי ניסיון רב והישגים בתחום אבטחת המידע. אפילו החבר הצעיר ביותר בצוות, דו אן דונג, כבר הביע את עצמו: דונג הוא זה שיצר נס בתחרות הזו, וזכה בקטגוריה ותרם לתוצאות הכוללות של כל הצוות.

בסוף הסיבוב האחרון בערב ה-27 באוקטובר, קבוצת Viettel Cyber Security (VCS) זכתה רשמית בציון הגבוה ביותר עם 30 נקודות Master of Pwn, והותירה את הפער עם הקבוצה שסיימה במקום השני על 12.75 נקודות.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 3.

עם תוצאה משכנעת זו, VCS ביססה את תואר האליפות מול יריבות בינלאומיות רבות, שנחשבו מועמדות חזקות לאליפות הטורניר כמו Sea Security (סינגפור), Vupen, Synacktiv (צרפת) ו-Devcore (טייוואן - קבוצת האלופה בשנה שעברה)...

חבר צוות VCS, הא אן הואנג, שיתף את האתגרים במהלך ההכנות לתחרות ואמר: שלושה חודשים לפני התחרות, הוועדה המארגנת הכריזה על המכשירים שייכבשו. לכן, זמן ההכנה היה רק שלושה חודשים, מכיוון שבאותה עת הצוות בדיוק רכש את המכשירים למחקר. מתוכם, מכשירים רבים היו צריכים להיות מיובאים מחו"ל והמתנה להגעתם לווייטנאם ארכה חודש שלם.

לדברי חבר צוות נוסף, נגוין שואן הואנג, "בתחרות יש מתחרים שמשתתפים כבר זמן רב. יש להם ניסיון רב, ויש גם מתחרים חזקים מאוד הן מבחינה כלכלית והן מבחינה מקצועית. צוות VCS נחושה להיכנס לתחרות עם ההכנה הקפדנית ביותר, הסולידריות ואסטרטגיית תחרות מתאימה כדי להשיג את ההצלחה הגבוהה ביותר בתחרות השנה."

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 4.

הואנג הוסיף כי בשנה שעברה, קבוצת VCS זכתה במקום השני בתחרות זו עם תוצאה קרובה מאוד לקבוצת האלופה, כשהיא מפסידה רק ב-2.5 נקודות. לכן, הקבוצה נחושה לשאוף לאליפות השנה.

אבל הדרך לאליפות אינה פשוטה: יעדי ההתקפה בתחרות הזו הם כל המכשירים והתוכנות הפופולריים בעולם, של יצרנים מובילים כמו מיקרוסופט, אפל, גוגל, סמסונג... - שיתף נגוין שואן הואנג.

כדי לעמוד בדרישות התחרות, היה צורך להזמין את המכשיר מארה"ב, אך ברגע של רשלנות, המכשיר "מת" מכיוון שהוא השתמש במקור חשמל של 110 וולט המתאים לשוק האמריקאי, בעוד שוייטנאם משתמשת ב-220 וולט.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 5.

לדברי נגו אן הוי, חבר שהשתתף בתחרות זו ארבע פעמים, הפחד הגדול ביותר של הקבוצה הוא שגיאות כפולות או שהיצרן לא הספיק לתקן את פרצות האבטחה שהקבוצה זיהתה. בשנה שעברה, קבוצת Viettel השתתפה בתחרות וזכתה במקום השני בלבד מכיוון שניכו לה נקודות על כך שהייתה לה פגיעות כפולה.

לא רק זאת, האתגר הגיע ברגע האחרון, בגלל עיכוב הוויזה, כל הצוות לא הצליח להגיע לטורונטו (קנדה) בזמן כדי להתחרות פיזית. במקום זאת, 14 חברי צוות VCS נאלצו להתחרות באינטרנט עם חששות רבים לגבי בעיות אפשריות שלא ניתן היה לפתור במהלך התחרות...

אבל התוצאה הסופית אמרה הכל... לא רק שקבוצת VCS ניצחה, היא גם ניצחה בצורה מרהיבה.

"כשהיינו בקטגוריית 10 הנקודות הגבוהות ביותר, כל הקבוצה פרצה בשמחה ואושר כי הוכחנו שהאליפות הזו הייתה ניצחון משכנע, ללא כל ספק" - נגוין שואן הואנג נזכר בגאווה ברגע הזה.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 6.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 7.

לאחר שהשתתפה ב-Pwn2Own ברציפות בארבע השנים האחרונות, צוות VCS זכה לראשונה באליפות Pwn2Own. זוהי תחרות תקיפה של תוכנה ואלקטרוניקה צרכנית הנערכת פעמיים בשנה על ידי ארגון אבטחת הסייבר Zero Day Initiative, אחת מתחרויות אבטחת הסייבר ה"קשות" ביותר בעולם כיום.

מר נגוין סון האי, מנהל VCS, אמר שבשנת 2020, Viettel רשמה את ניצחונה הראשון ב"מגרש משחקים" זה עם קטגוריית הטלוויזיות החכמות. בשנת 2021, Viettel נכנסה לטופ 5. בשנת 2022, היא סיימה במקום השני. והשנה, היא עלתה וזכתה באליפות עם ניקוד מוחץ.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 8.

ב-Pwn2Own מתחרים לא רק צוותי אבטחת סייבר מפורסמים בעולם, אלא גם יצרנים גדולים ותאגידי טכנולוגיה ברחבי העולם. כל בחינה תכלול שאלות על תוכנות או התקני חומרה פופולריים כגון מערכת הפעלה Windows, טלפונים של Apple, Xiaomi, Samsung או Canon, מדפסות HP...

צוותים מתחרים במטרה למצוא פגיעויות אבטחה לא ידועות בתוכנות ובמכשירים, ועליהם להדגים ניצול בזמן אמת של פגיעויות אלו תוך 30 דקות.

"מדוע נוכל לומר שהיריבים אינם רק קבוצות מומחי אבטחה אחרות, אלא גם יצרני מכשירים כמו אפל, שיאומי, קנון, TP Link... כי הם שונאים להיות ידועים כבעלי פגיעויות במכשירים שלהם, מה שאובד את אמון הלקוחות. לספקי המכשירים האלה תמיד יש צוות אבטחה והם מוכנים לשלם סכומי כסף גדולים כדי לתקן את השגיאות במוצרים שלהם לפני שהתחרות תתקיים כדי שהמוצרים לא יושמדו מול הציבור", שיתף המומחה נגוין הונג קוואנג, חבר בצוות VCS, עם טואי טרה .

לכן, התחרות תהיה עזה מהפתיחה ועד לרגע האחרון. מכיוון שייתכן בהחלט שהקבוצות יתגלו נקודות תורפה, אך היצרן יתקן אותן לפתע ממש לפני יום התחרות, מה שיגרום לקבוצה לאבד את כל מאמציה והישגיה.

לכן, "קרוב יותר למועד הביצועים, היינו צריכים לעבוד במשמרות יום ולילה כדי 'לצפות' ולראות אם הפגיעויות שגילינו עדיין קיימות או לא, ולעקוב מקרוב אחר היצרן כדי לראות אם הם תיקנו את הבאגים שגילינו או לא", אמר נגו אן הוי, שחקן Pwn2Own מנוסה בצוות VCS.

תחרות Pwn2Own 2023 בטורונטו מתמקדת בחומרה, כולל קטגוריות כמו טלפונים ניידים, רמקולים חכמים, מערכות מעקב, מערכות אחסון ברשת ואלקטרוניקה משרדית. בכל קטגוריה מוענקים פרסים הנעים בין 30,000$ ל-100,000$ וציונים הנעים בין 2 ל-10 נקודות בהתאם לרמת הקושי של המכשיר ולרמת ההשלמה של הדגמת התקיפה.

הקטגוריה החשובה ביותר הן מבחינת פרסים והן מבחינת נקודות היא הקטגוריה האחרונה, mash-up, הדורשת מקבוצות להריץ קוד exploit על אחד מנתבי הרשת הנתונים של התחרות ובכך לתקוף מכשיר בקטגוריות שהוזכרו לעיל, תמורת פרס של 100,000 דולר ו-10 נקודות.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 9.

לאחר השלמת הקטגוריות האישיות, תוך תקיפת מכשירי טלפון Xiaomi 13 Pro, מערכת אחסון QNAP TS 464, מדפסת Canon imageClass MF753Cdw ורמקול Sonos Era 100, צוות VCS צבר 20 נקודות, כמעט בטוח לזכות באליפות מכיוון שהיריבה Sea Security צברה רק 17.25 נקודות, לאחר השלמת כל הקטגוריות האישיות ואת הקטגוריה המשולבת.

אין יותר מדי לחץ תחרותי, אבל הקטגוריה האחרונה עדיין רודפת את מהנדסי VCS מכיוון שחוסר הנקודות בתחרות המאש-אפ הוא הסיבה שהקבוצה הזו החמיצה את האליפות בשנה שעברה. "הפעם, כשנכנסים לקטגוריית המאש-אפ, אנחנו ממשיכים להיות בעמדת נחיתות בהגרלה לסיבוב הבא, אם תהיה לנו אותה פרצה כמו הקבוצה הקודמת, ינוכו לנו נקודות", שיתף נגו אן הוי. טעות כפולה כזו גרמה ל-VCS להיות בפיגור של 2.5 נקודות מהקבוצה שסיימה במקום הראשון ב-Pwn2Own בשנה שעברה.

"השנה לא רק ניסינו לנצל פגיעויות חדשות, אלא גם בחרנו במכוון פגיעויות שהיו קשות מאוד לאיתור וקשה לחפוף ביניהן עם צוותים אחרים, או שהיו קלות לאיתור אך קשות לניצול, כמו גם תוכניות גיבוי רבות. זוהי תוצאה של שלושה חודשי מחקר ממוקד של כל הצוות", אמר הוי.

כתוצאה מכך, קבוצת VCS צברה 10/10 נקודות בקטגוריה המשולבת וזכתה באליפות הכללית עם ציון כולל של 30, 12.5 נקודות גבוה מהסגנית, וניצחה בצורה מרהיבה ומוחלטת.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 10.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 11.

"בחרנו ב-Pwn2Own כדי לבחון את כישורינו מכיוון שמדובר בתחרות על המכשירים הפופולריים ביותר בעולם, מיצרנים מובילים עם תהליך בדיקה קפדני", אמר מר נגוין סון האי, מנהל VCS. "השקעה בצוות מחקר ייעודי ובחינת עצמנו בזירה הבינלאומית היא חלק ממאמצי VCS לפתח משאבי אנוש".

המסע של קבוצת VCS לאליפות Pwn2Own 2023 הוא תוצאה של מסע ארוך ועובר בירושה, הדגמה חיה של החזון של מובילי קבוצת Viettel בתחום אבטחת המידע לפני שנים רבות.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 12.

לפני יותר מעשור, כאשר מנהל ה-VCS, נגוין סון האי, היה עדיין באותו גיל כמו חברי קבוצת אלופי Pwn2Own 2023 הנוכחית, מנהיגי קבוצת Viettel היו נחושים להשקיע בתחום אבטחת המידע.

הזרעים הראשונים לשדה צעיר נזרעו וטופלו במהרה על ידי וייטל באופן שיטתי ואסטרטגי.

מסע המחקר המעמיק של VCS החל בשנותיה הראשונות, כאשר רק שישה אנשים עבדו בתחילה בתחום אבטחת מידע. מאז 2011, צוות VCS ביצע התקפות מדומות עם יחידות בתוך קבוצת Viettel כדי להדגיש בעיות אבטחה.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 13.

"בגלל הפעלת תשתיות קריטיות, ל-Viettel יש חזון מחקרי הרואה באבטחת הרשת עמוד תווך", אמר מר סון האי. "באבטחת הרשת, אנשים הם הגורם החשוב ביותר. אפילו כאשר משתמשים במוצרים הטובים בעולם אך רק כמשתמש קצה, הסיכון להתקפה עדיין גבוה מאוד, בעוד שתשתיות קריטיות של Viettel כמו סלולר ואינטרנט הן מטרה להתקפות מצד הקבוצות הגדולות בעולם."

כדי שיהיה צוות מומחים להגנה על תשתיות קריטיות, VCS שואפת להכשיר אנשי אבטחת סייבר בעלי קיבולת שווה ערך לעולם. משנת 2015 ועד היום, Viettel ו-VCS הכשירו 450 סטודנטים, מתוכם גויסו 5% מהאנשים המתאימים ביותר להמשך עבודתם, אמר מר האי.

"לאחר בניית צוות מומחים והשקעה במחקר מעמיק, אנו ממשיכים למצוא דרכים להשקיע כדי לשפר את כישורי ההתקפה של צוות המומחים של VCS. השתתפות בתחרויות ברמה עולמית נועדה גם למטרה זו", אמר מר נגוין סון האי.

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 14.

בשנת 2013, VCS החלה לחקור פגיעויות של יום אפס, פגיעויות שלא היו ידועות ולא תוקנו ולכן היקרות ביותר, בהן היו גם Anh Huy והונג קוואנג שניים מהמומחים הראשונים. עד שנת 2015, צוות VCS מצא את הפגיעויות הראשונות ועד היום מספר הפגיעויות שנמצאו על ידי VCS הגיע ל-400.

"אף עסק וייטנאמי לא הגיע למספר כזה, וגם לא רבים בעולם", אמר מר האי.

ההזדמנות לקבל הכשרה באמצעות השתתפות במחקר מעמיק היא הסיבה לכך ש-VCS הפכה למקום עבודה אטרקטיבי עבור מומחי אבטחת סייבר שזכו לאחרונה במקום הראשון ב-Pwn2Own. כשנשאל מדוע בחר ב-Viettel, אמר אן הוי: "מניסיוני, לא הרבה חברות מוכנות להשקיע לטווח ארוך במחקר ובצוותי מחקר בתחום אבטחת הסייבר."

Hacker Viettel ghi danh lên bản đồ thế giới - Ảnh 15.

"במיוחד בתחום אבטחת הסייבר, הגורם האנושי הוא החשוב ביותר. לכן, VCS תמיד מודעת להכשרה, שיפור הצוות ובניית הדור הבא של צוות מוכשר ביותר, תמיד מוכנה לבעיות בינלאומיות" - הדגישה מנהלת VCS, נגוין סון האי.

בטקס לכבוד וברכה לחברי הצוות המשתתפים בתחרות, יו"ר ומנכ"ל קבוצת וייטל, טאו דוק טאנג, הביע את גאוותו ב"האקרים הלבנים" של וייטל. הוא אישר: "וייטל גאה בכך שצוות VCS זכה בפרס היוקרתי בתחום אבטחת הסייבר העולמית, ו'מתחרה' עם יצרני הציוד המובילים בעולם בעלי יחידות מחקר ופיתוח גדולות".

ראש קבוצת Viettel העריך כי "Pwn2Own היא תחרות יוקרתית בעלת רמת קושי גבוהה מאוד עבור כל האקר. התחרות משולה ל'קרב' עם יצרנים המחזיקים בצוותי אבטחת המידע המובילים בעולם, מוכנים להגיב להאקרים עד הרגע האחרון. משחק ללא הגבלת גיל, ויכול לכלול אף שיתוף פעולה רב לאומי...". לכן, אמר מר טאו דוק טאנג: "אליפות Pwn2Own 2023 הפכה את Viettel ואת וייטנאם למפורסמות בזירה הבינלאומית", אמר בגאווה יו"ר הקבוצה.

היו"ר טאו דוק טאנג הודה גם כי תחום אבטחת הסייבר הוא עצום, דרך ארוכה עבור מומחי וייטל וישנם אתגרים רבים לפנינו.

"לשמור על המקום הראשון זה לא קל, לכן עלינו להמשיך לעבוד קשה יותר ולחלום בגדול, תוך שאיפה מתמדת להגשים את החלום ולהביא את וייטנאם לעולם", הדגיש מר טאו דוק טאנג.

יו"ר קבוצת וייטל שיתף גם כי בתקופה הקרובה, לקבוצה יהיו מדיניות מיוחדת להכשרת כוח אדם איכותי, כדי שיוכלו להמשיך ולהקדיש את עצמם לעבודתם בביטחון.

מר טאו דוק טאנג הטיל את המשימה על VCS והדגיש כי VCS צריכה להמשיך ולהכשיר מומחי אבטחה נוספים, מתוך נחישה להכשיר את הדור הבא עם הבסיס הטוב ביותר שישרת לא רק את התאגיד אלא גם את המדינה, ולהגן על האומה במרחב הקיברנטי.