Viettel «Hacker» setter navnet sitt på verdenskartet

Mer enn klokken 01.00 den 27. oktober, i det fortsatt opplyste rommet til Viettel Cyber ​​Security Company (VCS), eksploderte 14 medlemmer av VCS-teamet av glede: Teamet vant mesterskapet i verdens største og mest prestisjefylte cyberangrepskonkurranse Pwn2Own 2023.

Det var ikke bare det forventede resultatet av tre måneder med kontinuerlig arbeid dag og natt av hele laget og tøff konkurranse mot de sterkeste motstanderne fra hele verden !

Det er ikke bare den første søte frukten til det yngste medlemmet av teamet, Do Anh Dung, født i 2003, for tiden tredjeårsstudent ved University of Technology (VNU)!

Det er ikke bare ønsket om å nå den høyeste plasseringen i konkurransen for medlemmer som Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… som har prøvd seg i denne turneringen i flere år!

Det er også en ære å gi landet den høyeste plasseringen i en av de mest prestisjefylte konkurransene i verden, noe som bekrefter vietnamesernes kapasitet innen informasjonssikkerhet og trygghet.

Og fremfor alt er det den «søte frukten» som høstes fra frøene Viettel standhaftig plantet for mange år siden. Frem til i dag kan Viettel, med VCS og et team av informasjonssikkerhetseksperter, være stolte av å være et av verdens ledende selskaper innen informasjonssikkerhet og sikkerhetskapasitet.

De 14 medlemmene av VCS-laget som vant Pwn2Own-mesterskapet i 2023 er alle svært unge. De fleste medlemmene er fra 9x-generasjonen, det yngste medlemmet ble født i 2003.

Men mesteparten av teamet har «kjempet» i mange år, har et vell av erfaring og prestasjoner innen informasjonssikkerhet og trygghet. Selv det yngste medlemmet av teamet, Do Anh Dung, har allerede hevdet seg: Dung er den som skapte et mirakel i denne konkurransen, og vant en kategori som bidrar til de samlede resultatene for hele teamet.

På slutten av finalerunden kvelden 27. oktober vant laget til Viettel Cyber ​​Security (VCS) offisielt den høyeste poengsummen med 30 Master of Pwn-poeng, og etterlot dermed avstanden til laget på andreplass på 12,75 poeng.

Med denne overbevisende scoringen sikret VCS mesterskapstittelen mot mange internasjonale motstandere, som ble ansett som sterke kandidater til turneringens mesterskap, som Sea Security (Singapore), Vupen, Synacktiv (Frankrike) og Devcore (Taiwan - fjorårets mesterlag)...

VCS-teammedlem Ha Anh Hoang fortalte om utfordringene under forberedelsene til konkurransen: Tre måneder før konkurransen annonserte organisasjonskomiteen hvilke utstyr som skulle erobres. Forberedelsestiden var derfor bare tre måneder, fordi teamet på det tidspunktet nettopp hadde kjøpt utstyr for å undersøke. Mange av disse måtte importeres fra utlandet, og det tok en hel måned å vente på at de skulle ankomme Vietnam.

Ifølge et annet lagmedlem, Nguyen Xuan Hoang: «Konkurransen har deltakere som har deltatt lenge. De har mye erfaring, og det er også svært sterke konkurrenter både økonomisk og profesjonelt. Team VCS er fast bestemt på å gå inn i konkurransen med den mest nøye forberedelsen, solidariteten og en passende konkurransestrategi for å oppnå størst mulig suksess i årets konkurranse.»

Hoang la til at VCS-laget vant andreplassen i denne konkurransen i fjor, med en poengsum som var svært nær mesterlaget, og tapte bare med 2,5 poeng. Derfor er laget fast bestemt på å sikte mot mesterskapet i år.

Men veien til mesterskapet er ikke enkel: Angrepsmålene i denne konkurransen er alle populære enheter og programvare i verden, fra ledende produsenter som Microsoft, Apple, Google, Samsung... – delte Nguyen Xuan Hoang.

For å oppfylle konkurransens krav måtte enheten bestilles fra USA, men i løpet av et øyeblikks uforsiktighet «døde» enheten fordi den brukte en 110v strømkilde som var egnet for det amerikanske markedet, mens Vietnam bruker 220v.

Ifølge Ngo Anh Huy, et medlem som har deltatt i denne konkurransen fire ganger, er lagets største frykt duplikatfeil eller at produsenten ikke har tid til å lappe sikkerhetshullene som laget har registrert. I fjor deltok Viettel-laget i konkurransen og vant bare andreplassen fordi de ble trukket fra poeng for å ha en duplisert sårbarhet.

Ikke bare det, utfordringen kom i siste liten. På grunn av visumforsinkelsen kunne ikke hele laget komme seg til Toronto (Canada) i tide for å konkurrere personlig. I stedet måtte de 14 medlemmene av VCS-laget konkurrere online med mange bekymringer om mulige problemer som ikke kunne løses under konkurransen...

Men sluttresultatet sa alt ... Ikke bare vant VCS-laget, de vant også spektakulært.

«Da vi vant den siste 10-kategorien med høyest poengsum, brøt hele laget ut i glede og lykke fordi vi hadde bevist at dette mesterskapet var en overbevisende seier, uten tvil» – mintes Nguyen Xuan Hoang stolt det øyeblikket.

Etter å ha deltatt i Pwn2Own kontinuerlig de siste fire årene, har VCS-teamet vunnet Pwn2Own-mesterskapet for første gang. Dette er en konkurranse om programvare- og forbrukerelektronikkangrep som arrangeres to ganger i året av cybersikkerhetsorganisasjonen Zero Day Initiative, en av de «vanskeligste» cybersikkerhetskonkurransene i verden i dag.

Nguyen Son Hai, direktør for VCS, sa at Viettel i 2020 vant sin første seier i denne «lekeplassen» med SmartTV-kategorien. I 2021 kom Viettel inn i topp 5. I 2022 kom de på andreplass. Og i år vant de mesterskapet med en overveldende poengsum.

På Pwn2Own konkurrerer ikke bare kjente cybersikkerhetsteam i verden, men også store produsenter og teknologiselskaper over hele verden. Hver eksamen vil ha spørsmål om populær programvare eller maskinvare som Windows-operativsystemer, Apple-, Xiaomi- og Samsung-telefoner eller Canon- og HP-skrivere...

Lag konkurrerer om å finne ukjente sikkerhetssårbarheter i programvare og enheter, og må demonstrere live utnyttelse av disse sårbarhetene innen 30 minutter.

«Hvorfor kan vi si at motstanderne ikke bare er andre sikkerhetsekspertgrupper, men også enhetsprodusenter som Apple, Xiaomi, Canon, TP Link ... fordi de hater å bli kjent for å ha sårbarheter på enhetene sine, og dermed miste kundenes tillit. Disse enhetsleverandørene har alltid et sikkerhetsteam og er villige til å betale store summer for å rette feilene på produktene sine før konkurransen finner sted, slik at produktene ikke blir vanæret foran offentligheten», delte ekspert Nguyen Hong Quang, et medlem av VCS-teamet, med Tuoi Tre .

Derfor vil konkurransen være intens fra åpningen til siste liten. Fordi det er fullt mulig at sårbarhetene oppdages av lagene, men at produsenten plutselig oppdaterer dem rett før konkurransedagen, noe som fører til at et lag mister all sin innsats og prestasjoner.

Derfor, «nærmere ytelsestiden måtte vi ta skift dag og natt for å «se» om sårbarhetene vi oppdaget fortsatt eksisterte eller ikke, og nøye overvåke produsenten for å se om de rettet feilene vi oppdaget eller ikke», sa Ngo Anh Huy, en erfaren Pwn2Own-spiller i VCS-teamet.

Pwn2Own 2023-konkurransen i Toronto fokuserer på maskinvare, inkludert kategorier som mobiltelefoner, smarthøyttalere, overvåkingssystemer, nettverksbaserte lagringssystemer og kontorelektronikk. Hver kategori har premier fra $30 000 til $100 000 og poengsummer fra 2 til 10 poeng, avhengig av enhetens vanskelighetsgrad og fullføringsnivået på angrepsdemonstrasjonen.

Den mest verdifulle både i premier og poeng er den siste kategorien, mash-up, som krever at lag kjører utnyttelseskode på en av konkurransens gitte nettverksrutere og dermed angriper en enhet i de nevnte kategoriene, for en premie på $100 000 og 10 poeng.

Etter å ha fullført de individuelle kategoriene, med suksessfulle angrep på Xiaomi 13 Pro-telefoner, QNAP TS 464-lagringssystem, Canon imageClass MF753Cdw-skriver og Sonos Era 100-høyttaler, scoret VCS-teamet 20 poeng, nesten sikre på å vinne mesterskapet fordi motstanderen Sea Security bare scoret 17,25 poeng etter å ha fullført alle de individuelle kategoriene og den kombinerte kategorien.

Det er ikke lenger for mye konkurransepress, men den siste kategorien hjemsøker fortsatt VCS-ingeniørene fordi mangelen på poeng i mash-up-konkurransen er grunnen til at dette laget gikk glipp av mesterskapet i fjor. «Denne gangen, når vi går inn i smash-up-kategorien, fortsetter vi å være i en ulempe når vi trekker lodd til neste runde. Hvis vi har samme smutthull som det forrige laget, vil vi bli trukket fra poeng», delte Ngo Anh Huy. En slik duplikatfeil førte til at VCS var 2,5 poeng bak laget som tok førsteplass i fjorårets Pwn2Own.

«I år prøvde vi ikke bare å utnytte nye sårbarheter, men vi valgte også bevisst sårbarheter som var svært vanskelige å finne og vanskelige å overlappe med andre team, eller som var enkle å finne, men vanskelige å utnytte, samt at vi hadde mange reserveplaner. Dette er resultatet av tre måneder med fokusert forskning fra hele teamet», sa Huy.

Som et resultat scoret VCS-laget 10/10 poeng i den kombinerte kategorien og vant det samlede mesterskapet med en totalscore på 30, 12,5 poeng høyere enn andreplassen, og vant dermed spektakulært og fullstendig.

«Vi valgte Pwn2Own for å teste ferdighetene våre fordi dette er en konkurranse om de mest populære enhetene i verden, fra ledende produsenter med en streng testprosess», sa Nguyen Son Hai, direktør i VCS. «Å investere i et spesialisert forskerteam og teste oss selv på den internasjonale arenaen er en del av VCS' innsats for å utvikle menneskelige ressurser.»

VCS-teamets reise til Pwn2Own 2023-mesterskapet er resultatet av en lang, arvet reise, en levende demonstrasjon av visjonen for mange år siden til Viettel Groups ledere innen informasjonssikkerhet.

For over ti år siden, da VCS-direktør Nguyen Son Hai fortsatt var like gammel som de nåværende medlemmene av Pwn2Own 2023-mesterlaget, var lederne i Viettel Group fast bestemt på å investere innen informasjonssikkerhet.

De første frøene til et ungt jorde ble snart plantet og tatt vare på av Viettel på en systematisk og strategisk måte.

VCS’ grundige forskningsreise startet i de første årene, med bare seks personer som i utgangspunktet jobbet med informasjonssikkerhet. Siden 2011 har VCS-teamet utført simulerte angrep mot enheter innen Viettel Group for å belyse sikkerhetsproblemer.

«På grunn av driften av kritisk infrastruktur har Viettel en forskningsvisjon som anser nettverkssikkerhet som en pilar», sa Son Hai. «Innen nettverkssikkerhet er mennesker den viktigste faktoren. Selv når man bruker verdens beste produkter, men kun som sluttbruker, er risikoen for å bli angrepet fortsatt svært høy, mens Viettels kritiske infrastrukturer som mobil og internett er mål for angrep fra de største gruppene i verden.»

For å ha et ekspertteam for å beskytte kritisk infrastruktur, har VCS som mål å utdanne cybersikkerhetspersonell med en kapasitet tilsvarende verdens. Fra 2015 og frem til nå har Viettel og VCS utdannet 450 studenter, hvorav 5 % av det mest egnede personellet har blitt rekruttert for å fortsette i arbeidet, sa Hai.

«Etter å ha bygget et team av eksperter og investert i grundig forskning, fortsetter vi å finne måter å investere for å forbedre angrepsferdighetene til VCS-ekspertteamet. Deltakelse i konkurranser i verdensklasse er også for dette formålet», sa Nguyen Son Hai.

I 2013 begynte VCS å undersøke nulldagssårbarheter, sårbarheter som var ukjente og uoppdaterte og derfor de dyreste, og Anh Huy og Hong Quang var også to av de første spesialistene på disse. I 2015 fant VCS-teamet de første sårbarhetene, og til dags dato har antallet sårbarheter funnet av VCS nådd 400.

«Ingen vietnamesisk bedrift har nådd et slikt antall, og det er heller ikke mange i verden», sa Hai.

Muligheten til å bli opplært gjennom å delta i grundig forskning er grunnen til at VCS har blitt en attraktiv arbeidsplass for cybersikkerhetseksperter som nylig vant førsteplassen hos Pwn2Own. Da han ble spurt om hvorfor han valgte Viettel, sa Anh Huy: «Ut fra min erfaring er det ikke mange selskaper som er villige til å investere langsiktig i cybersikkerhetsforskning og forskningsteam.»

«Spesielt innen cybersikkerhet er den menneskelige faktoren den viktigste. Derfor er VCS alltid oppmerksomme på opplæring, forbedring av teamet og bygging av neste generasjon av høyt kvalifiserte ansatte, alltid klare for internasjonale problemer» – understreket VCS-direktør Nguyen Son Hai.

Under seremonien for å hedre og gratulere lagmedlemmene som deltok i konkurransen, uttrykte styreleder og administrerende direktør i Viettel Group, Tao Duc Thang, sin stolthet over Viettels «white hat hackere». Han bekreftet: «Viettel er stolte av at VCS-teamet vant den prestisjetunge prisen innen global cybersikkerhet, og «konkurrerer» med verdens ledende utstyrsprodusenter med store FoU-enheter.»

Lederen for Viettel Group vurderte at «Pwn2Own er en prestisjefylt konkurranse med svært høy vanskelighetsgrad for enhver hacker. Konkurransen sammenlignes med en 'kamp' med produsenter som eier verdens beste informasjonssikkerhetsteam, klare til å svare på hackere til siste liten. Et spill uten aldersgrense, og kan til og med involvere multinasjonalt samarbeid...». Derfor sa Tao Duc Thang: «Pwn2Own 2023-mesterskapet har gjort Viettel og Vietnam berømte på den internasjonale arenaen», sa gruppens styreleder stolt.

Styreleder Tao Duc Thang erkjente også at feltet cybersikkerhet er enormt, en lang vei for Viettel-eksperter, og at det er mange utfordringer foran oss.

«Det er ikke lett å opprettholde topp 1-posisjonen, så vi må fortsette å jobbe hardere og ha store drømmer, og stadig lengte etter å gjøre drømmen om å bringe Vietnam til verden til virkelighet», understreket Tao Duc Thang.

Styrelederen i Viettel Group delte også at konsernet i den kommende tiden vil ha spesielle retningslinjer for å utdanne høykvalifiserte menneskelige ressurser, slik at de kan fortsette å vie seg selv til arbeidet sitt med selvtillit.

Da han tildelte oppgaven til VCS, understreket Tao Duc Thang at VCS må fortsette å utdanne flere sikkerhetseksperter, og at de er fast bestemt på å utdanne neste generasjon med det beste grunnlaget for å tjene ikke bare selskapet, men også landet og beskytte nasjonen i cyberspace.