Viettel 'Hacker' zet zijn naam op de wereldkaart

Op 27 oktober, ruim 01.00 uur 's nachts, barstten 14 leden van het VCS-team in de nog verlichte ruimte van Viettel Cyber ​​​​Security Company (VCS) uit van vreugde: het team won het kampioenschap van 's werelds grootste en meest prestigieuze cyberaanvalswedstrijd Pwn2Own 2023.

Het was niet alleen het verwachte resultaat van drie maanden onafgebroken dag en nacht werken door het hele team en een veerkrachtige concurrentiestrijd tegen de sterkste tegenstanders van over de hele wereld !

Dat is niet alleen het eerste zoete fruit voor het jongste lid van het team, Do Anh Dung, geboren in 2003 en momenteel derdejaarsstudent aan de Technische Universiteit (VNU)!

Het is niet alleen de wens om de hoogste positie van de competitie te bereiken voor leden als Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… die zich al jaren aan dit toernooi wagen!

Het is ook een eer om het land de hoogste positie te bezorgen in een van de meest prestigieuze competities ter wereld, wat de capaciteiten van de Vietnamese bevolking op het gebied van informatiebeveiliging en -veiligheid bevestigt.

En bovenal is het de "zoete vrucht" die voortkomt uit de zaden die Viettel jaren geleden gestaag heeft geplant. Tot op de dag van vandaag kan Viettel, met VCS en een team van informatiebeveiligingsexperts, er trots op zijn een van 's werelds toonaangevende bedrijven te zijn op het gebied van informatiebeveiliging en -veiligheid.

De 14 leden van het VCS-team dat het Pwn2Own kampioenschap van 2023 won, zijn allemaal erg jong. De meeste leden komen uit de 9x-generatie; het jongste lid is pas in 2003 geboren.

Maar de meeste teamleden "vechten" al jaren en hebben een schat aan ervaring en prestaties op het gebied van informatiebeveiliging en veiligheid. Zelfs het jongste teamlid, Do Anh Dung, heeft al laten blijken dat Dung degene is die een wonder heeft verricht in deze wedstrijd door een categorie te winnen en zo bij te dragen aan de algehele resultaten van het hele team.

Aan het einde van de finaleronde op de avond van 27 oktober behaalde het team van Viettel Cyber ​​​​Security (VCS) officieel de hoogste score met 30 Master of Pwn-punten. Daarmee bleef de kloof met het team op de tweede plaats steken op 12,75 punten.

Met deze overtuigende score veroverde VCS de kampioenstitel nadat het veel internationale tegenstanders versloeg die als sterke kandidaten voor de titel van het toernooi werden beschouwd, zoals Sea Security (Singapore), Vupen, Synacktiv (Frankrijk) en Devcore (Taiwan - het kampioensteam van vorig jaar).

VCS-teamlid Ha Anh Hoang vertelde over de uitdagingen tijdens de voorbereiding op de wedstrijd: "Drie maanden voor de wedstrijd maakte het organisatiecomité de te veroveren toestellen bekend. De voorbereidingstijd bedroeg dus slechts drie maanden, omdat het team op dat moment net de toestellen had gekocht om te onderzoeken. Veel toestellen moesten uit het buitenland worden geïmporteerd en het duurde een hele maand voordat ze in Vietnam arriveerden."

Volgens een ander teamlid, Nguyen Xuan Hoang: "De deelnemers aan de competitie zijn al lang actief. Ze hebben veel ervaring, en er zijn ook zeer sterke concurrenten, zowel financieel als professioneel. Team VCS is vastbesloten om met de meest zorgvuldige voorbereiding, solidariteit en een passende wedstrijdstrategie aan de competitie deel te nemen om dit jaar het hoogst mogelijke succes te behalen."

Hoang voegde eraan toe dat het VCS-team vorig jaar de tweede plaats behaalde in deze competitie met een score die heel dicht bij die van het kampioensteam lag, met slechts 2,5 punten achterstand. Het team is daarom vastbesloten om dit jaar voor het kampioenschap te gaan.

Maar de weg naar het kampioenschap is niet eenvoudig: de aanvalsdoelen in deze competitie zijn alle populaire apparaten en software ter wereld, van toonaangevende fabrikanten zoals Microsoft, Apple, Google, Samsung... - aldus Nguyen Xuan Hoang.

Om aan de eisen van de wedstrijd te voldoen, moest het apparaat in de VS worden besteld. Door een moment van onoplettendheid ging het apparaat echter "de geest geven" omdat het een 110V-voeding gebruikte die geschikt was voor de Amerikaanse markt, terwijl in Vietnam 220V wordt gebruikt.

Volgens Ngo Anh Huy, een lid dat al vier keer aan deze wedstrijd heeft deelgenomen, is de grootste angst van het team dat er dubbele fouten worden gemaakt of dat de fabrikant geen tijd heeft om de beveiligingslekken die het team heeft geregistreerd te dichten. Vorig jaar deed het Viettel-team mee aan de wedstrijd en won alleen de tweede plaats omdat ze punten werden afgetrokken vanwege een dubbele kwetsbaarheid.

Bovendien kwam de uitdaging op het laatste moment, want door de vertraging van het visum kon het hele team niet op tijd in Toronto (Canada) aankomen om fysiek deel te nemen. In plaats daarvan moesten de 14 leden van het VCS-team online deelnemen, met veel zorgen over mogelijke problemen die niet tijdens de wedstrijd konden worden opgelost...

Maar het eindresultaat sprak boekdelen… Het VCS-team won niet alleen, ze wonnen ook nog eens op spectaculaire wijze.

"Toen we de laatste 10 wedstrijden met het hoogste aantal punten wonnen, was het hele team dolgelukkig en blij. We hadden bewezen dat dit kampioenschap een overtuigende overwinning was, daar bestond geen twijfel over", vertelde Nguyen Xuan Hoang trots.

Na vier jaar onafgebroken te hebben deelgenomen aan Pwn2Own, heeft het VCS-team voor het eerst het Pwn2Own-kampioenschap gewonnen. Dit is een wedstrijd voor aanvallen op software en consumentenelektronica die twee keer per jaar wordt gehouden door de cybersecurityorganisatie Zero Day Initiative. Het is een van de 'moeilijkste' cybersecuritywedstrijden ter wereld.

Dhr. Nguyen Son Hai, directeur van VCS, zei dat Viettel in 2020 zijn eerste overwinning behaalde in deze "speeltuin" met de SmartTV-categorie. In 2021 kwam Viettel in de top 5 terecht. In 2022 eindigde het op de tweede plaats. En dit jaar won het bedrijf het kampioenschap met een overweldigende score.

Aan Pwn2Own doen niet alleen bekende cybersecurityteams mee, maar ook grote fabrikanten en technologiebedrijven van over de hele wereld. Elk examen bevat vragen over populaire software- of hardwareapparaten zoals Windows, Apple, Xiaomi, Samsung-telefoons of Canon, HP-printers...

Teams gaan de strijd aan om onbekende beveiligingslekken in software en apparaten te vinden en moeten binnen 30 minuten live laten zien hoe ze deze kwetsbaarheden kunnen exploiteren.

"Waarom kunnen we zeggen dat de tegenstanders niet alleen andere beveiligingsexpertgroepen zijn, maar ook fabrikanten zoals Apple, Xiaomi, Canon, TP-Link...? Omdat ze het vreselijk vinden om bekend te staan ​​dat hun apparaten kwetsbaar zijn en zo het vertrouwen van klanten verliezen. Deze leveranciers van apparaten hebben altijd een beveiligingsteam en zijn bereid grote bedragen te betalen om de fouten in hun producten te repareren voordat de wedstrijd begint, zodat de producten niet voor het grote publiek in diskrediet worden gebracht", vertelde expert Nguyen Hong Quang, lid van het VCS-team, aan Tuoi Tre .

De concurrentie zal daarom vanaf de opening tot de laatste minuut intens zijn. Het is namelijk heel goed mogelijk dat de kwetsbaarheden door de teams worden ontdekt, maar dat de fabrikant ze vlak voor de wedstrijddag plotseling patcht, waardoor een team al zijn inspanningen en prestaties verliest.

"Daarom moesten we dichter bij de uitvoeringstijd dag en nacht in de gaten houden of de kwetsbaarheden die we ontdekten nog steeds bestonden, en de fabrikant nauwlettend in de gaten houden om te zien of ze de bugs die we ontdekten al dan niet hadden gepatcht", aldus Ngo Anh Huy, een ervaren Pwn2Own-speler van het VCS-team.

De Pwn2Own 2023 Toronto-competitie richt zich op hardware, met categorieën zoals mobiele telefoons, slimme speakers, bewakingssystemen, netwerkopslagsystemen en kantoorelektronica. Elke categorie heeft prijzen variërend van $ 30.000 tot $ 100.000 en scores van 2 tot 10 punten, afhankelijk van de moeilijkheidsgraad van het apparaat en het voltooiingsniveau van de aanvalsdemonstratie.

De meest waardevolle categorie, zowel qua prijzen als punten, is de laatste categorie: mash-up. In deze categorie moeten teams exploitcode uitvoeren op een van de netwerkrouters van de competitie en daarmee een apparaat aanvallen in de eerdergenoemde categorieën. Daarmee winnen ze een prijs van $ 100.000 en 10 punten.

Nadat ze de individuele categorieën hadden voltooid en met succes de Xiaomi 13 Pro-telefoon, het QNAP TS 464-opslagsysteem, de Canon imageClass MF753Cdw-printer en de Sonos Era 100-luidspreker hadden aangevallen, scoorde het VCS-team 20 punten. Daarmee was het vrijwel zeker dat ze het kampioenschap zouden winnen, omdat de tegenstander Sea Security slechts 17,25 punten scoorde, na het voltooien van alle individuele categorieën en de gecombineerde categorie.

De concurrentiedruk is niet meer zo groot, maar de laatste categorie blijft de ingenieurs van VCS achtervolgen, omdat het gebrek aan punten in de mash-upcompetitie de reden is dat dit team vorig jaar het kampioenschap misliep. "Deze keer, nu we meedoen aan de smash-upcategorie, staan ​​we nog steeds in het nadeel bij de loting voor de volgende ronde. Als we dezelfde fout maken als het vorige team, krijgen we punten afgetrokken," aldus Ngo Anh Huy. Door zo'n dubbele fout stond VCS 2,5 punten achter op het team dat vorig jaar de eerste plaats behaalde in Pwn2Own.

"Dit jaar hebben we niet alleen geprobeerd nieuwe kwetsbaarheden te exploiteren, maar hebben we ook bewust kwetsbaarheden gekozen die erg moeilijk te vinden waren en moeilijk te overlappen met andere teams, of die gemakkelijk te vinden waren maar moeilijk te exploiteren, en die bovendien veel back-upplannen hadden. Dit is het resultaat van drie maanden gericht onderzoek door het hele team", aldus Huy.

Het VCS-team scoorde 10/10 punten in de gecombineerde categorie en won het algehele kampioenschap met een totaalscore van 30. Dat is 12,5 punten hoger dan de nummer twee, een spectaculaire en volledige overwinning.

"We hebben Pwn2Own gekozen om onze vaardigheden te testen, omdat dit een wedstrijd is met de populairste apparaten ter wereld, van toonaangevende fabrikanten met een strikt testproces", aldus Nguyen Son Hai, directeur van VCS. "Investeren in een gespecialiseerd onderzoeksteam en onszelf internationaal testen, maakt deel uit van VCS' inspanningen om human resources te ontwikkelen."

De reis van het VCS-team naar het Pwn2Own 2023-kampioenschap is het resultaat van een lange, overgeleverde reis. Het is een levendig voorbeeld van de visie die de leiders van Viettel Group vele jaren geleden op het gebied van informatiebeveiliging hadden.

Meer dan tien jaar geleden, toen VCS-directeur Nguyen Son Hai nog even oud was als de huidige teamleden van de Pwn2Own 2023-kampioenen, waren de leiders van Viettel Group vastbesloten om te investeren in informatiebeveiliging.

Al snel werden de eerste zaden voor een jong veld geplant en door Viettel op systematische en strategische wijze verzorgd.

Het diepgaande onderzoekstraject van VCS begon in de beginjaren, toen er aanvankelijk slechts zes mensen aan informatiebeveiliging werkten. Sinds 2011 voert het VCS-team schijnaanvallen uit met eenheden binnen de Viettel Group om beveiligingsproblemen aan het licht te brengen.

"Omdat Viettel kritieke infrastructuren beheert, hanteert het een onderzoeksvisie die netwerkbeveiliging als een pijler beschouwt", aldus de heer Son Hai. "Bij netwerkbeveiliging zijn mensen de belangrijkste factor. Zelfs bij gebruik van 's werelds beste producten, maar alleen als eindgebruiker, is het risico op een aanval nog steeds zeer hoog. Tegelijkertijd zijn de kritieke infrastructuren van Viettel, zoals mobiele telefonie en internet, het doelwit van aanvallen door de grootste groepen ter wereld."

Om een ​​team van experts te hebben voor de bescherming van kritieke infrastructuur, streeft VCS ernaar cybersecuritypersoneel op te leiden met een capaciteit die vergelijkbaar is met die van de wereld. Tussen 2015 en nu hebben Viettel en VCS 450 studenten opgeleid, waarvan 5% van het meest geschikte personeel is gerekruteerd om te blijven werken, aldus de heer Hai.

"Nadat we een team van experts hebben samengesteld en hebben geïnvesteerd in diepgaand onderzoek, blijven we manieren vinden om te investeren in het verbeteren van de aanvallende vaardigheden van het VCS-team van experts. Deelname aan wedstrijden van wereldklasse is daar ook een goed doel voor", aldus de heer Nguyen Son Hai.

In 2013 begon VCS met onderzoek naar zero-day-kwetsbaarheden, kwetsbaarheden die onbekend en ongepatcht waren en daarom het duurst, en waarin Anh Huy en Hong Quang ook twee van de eerste specialisten waren. In 2015 ontdekte het VCS-team de eerste kwetsbaarheden en tot nu toe heeft het aantal door VCS gevonden kwetsbaarheden de 400 bereikt.

"Geen enkel Vietnamees bedrijf heeft zo'n aantal bereikt, en ook niet veel in de wereld", aldus de heer Hai.

De mogelijkheid om opgeleid te worden door deel te nemen aan diepgaand onderzoek is de reden waarom VCS een aantrekkelijke werkplek is geworden voor cybersecurity-experts die onlangs de eerste prijs wonnen bij Pwn2Own. Gevraagd naar zijn keuze voor Viettel, antwoordde Anh Huy: "Uit mijn ervaring blijkt dat niet veel bedrijven bereid zijn om op lange termijn te investeren in cybersecurity-onderzoek en onderzoeksteams."

"Vooral op het gebied van cybersecurity is de menselijke factor het allerbelangrijkst. Daarom is VCS altijd bezig met training, teamverbetering en het opleiden van de volgende generatie hooggekwalificeerd personeel, altijd klaar voor internationale problemen", benadrukte VCS-directeur Nguyen Son Hai.

Tijdens de ceremonie ter ere en felicitatie van de deelnemende teamleden sprak Tao Duc Thang, voorzitter en algemeen directeur van Viettel Group, zijn trots uit op de 'white hat hackers' van Viettel. Hij bevestigde: "Viettel is er trots op dat het VCS-team de prestigieuze prijs op het gebied van wereldwijde cyberbeveiliging heeft gewonnen en daarmee concurreert met 's werelds toonaangevende apparatuurfabrikanten met grote R&D-afdelingen."

Het hoofd van Viettel Group oordeelde dat "Pwn2Own een prestigieuze competitie is met een zeer hoge moeilijkheidsgraad voor elke hacker. De competitie is te vergelijken met een 'strijd' tussen fabrikanten die de beste informatiebeveiligingsteams ter wereld bezitten, klaar om tot het laatste moment op hackers te reageren. Een spel zonder leeftijdsgrens, en zelfs multinationale samenwerking kan vereist zijn...". De heer Tao Duc Thang zei dan ook: "Het Pwn2Own 2023-kampioenschap heeft Viettel en Vietnam internationaal beroemd gemaakt", aldus de voorzitter van de groep trots.

Voorzitter Tao Duc Thang erkende ook dat cyberveiligheid een enorm vakgebied is, dat de experts van Viettel een lange weg moeten afleggen en dat er nog veel uitdagingen voor ons liggen.

"Het is niet eenvoudig om de top 1-positie te behouden, dus moeten we harder blijven werken en grote dromen hebben. We moeten er voortdurend naar streven om de droom waar te maken en Vietnam aan de wereld te presenteren", benadrukte de heer Tao Duc Thang.

De voorzitter van Viettel Group deelde ook mee dat de Group in de komende tijd een speciaal beleid zal voeren om hoogwaardige menselijke hulpbronnen op te leiden, zodat zij zich vol vertrouwen aan hun werk kunnen blijven wijden.

Bij het toewijzen van de taak aan VCS benadrukte de heer Tao Duc Thang dat VCS meer beveiligingsexperts moet blijven opleiden. Hij wil de volgende generatie opleiden met de beste basis om niet alleen het bedrijf, maar ook het land te dienen en de natie in cyberspace te beschermen.