Viettels «hacker» setter sitt preg på verdenskartet

Like etter klokken 01.00 den 27. oktober, i det sterkt opplyste rommet til Viettel Cyber ​​Security Company (VCS), brøt de 14 medlemmene av VCS-teamet ut i glede: Teamet hadde vunnet mesterskapet i verdens største og mest prestisjefylte cyberangrepskonkurranse, Pwn2Own 2023.

Dette er ikke bare det forventede resultatet av tre måneder med kontinuerlig arbeid dag og natt av hele teamet, men også av iherdig konkurranse mot de sterkeste motstanderne fra hele verden !

Dette er ikke bare den første søte belønningen til det yngste medlemmet av laget, Do Anh Dung, født i 2003, som for tiden er tredjeårsstudent ved University of Technology (VNU Hanoi)!

Det er ikke bare ønsket om å nå toppen av konkurransen for medlemmer som Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… som har prøvd lykken i denne turneringen i flere år på rad!

Det var også en strålende prestasjon å ta hjem topplasseringen for landet i en av de mest prestisjefylte globale konkurransene, noe som bekreftet vietnamesernes evner innen informasjonssikkerhet og -trygghet.

Og viktigst av alt, det er den «søte frukten» som høstes fra frøene som Viettel standhaftig har sådd i mange år. I dag, med VCS og sitt team av informasjonssikkerhetseksperter, kan Viettel stolt hevde å være et av verdens ledende selskaper innen informasjonssikkerhet og sikkerhetskapasitet.

Alle de 14 medlemmene av VCS-laget som vant Pwn2Own-mesterskapet i 2023 er svært unge. De fleste medlemmene er fra 90-tallsgenerasjonen, og det yngste medlemmet er født i 2003.

Men de fleste av teammedlemmene har årelang erfaring og en mengde prestasjoner innen informasjonssikkerhet. Selv det yngste medlemmet av teamet, Do Anh Dung, har bevist hva han er god for: Dung var den som oppnådde et mirakel i denne konkurransen, og vant i én kategori og bidro til lagets samlede resultat.

Etter å ha avsluttet den siste konkurransekategorien kvelden 27. oktober, sikret laget fra Viettel Cyber ​​​​Security (VCS) seg offisielt toppseieren med 30 Master of Pwn-poeng, og etterlot andreplasslaget langt bak med 12,75 poeng.

Med denne overbevisende poengsummen sikret VCS seg mesterskapstittelen foran mange internasjonale motstandere, som ble ansett som sterke utfordrere til turneringens mesterskap, som Sea Security (Singapore), Vupen, Synacktiv (Frankrike) og Devcore (Taiwan - fjorårets mester)...

VCS-teammedlem Ha Anh Hoang fortalte om utfordringene under forberedelsene til konkurransen: «Tre måneder før konkurransen annonserte arrangørene bare utstyret som måtte mestres. Derfor hadde vi bare tre måneder på oss til å forberede oss, fordi det var da teamet kunne kjøpe utstyret for å studere. Mye utstyr måtte importeres fra utlandet, og det tok måneder før det ankom Vietnam.»

Ifølge et annet lagmedlem, Nguyen Xuan Hoang: «Konkurransen har deltakere som har deltatt lenge. De har mye erfaring, og det er også svært sterke konkurrenter både økonomisk og profesjonelt. Team VCS er fast bestemt på å gå inn i konkurransen med den mest grundige forberedelsen, samhold og en passende strategi for å oppnå høyest mulig suksess i årets konkurranse.»

Hoang fortalte videre at VCS-laget vant andreplassen i denne konkurransen i fjor, med en poengsum svært nær mesteren, og tapte med bare 2,5 poeng. Derfor er laget fast bestemt på å sikte mot mesterskapet i år.

Men veien til mesterskapet er ikke enkel: Angrepsmålene i denne konkurransen er alle populære enheter og programvare over hele verden, fra ledende produsenter som Microsoft, Apple, Google, Samsung… – delte Nguyen Xuan Hoang.

For å oppfylle konkurransekravene måtte enheten bestilles fra USA, men et øyeblikks uforsiktighet førte til at den ikke fungerte riktig fordi den brukte en 110V strømforsyning egnet for det amerikanske markedet, mens Vietnam bruker 220V strøm.

Ifølge Ngo Anh Huy, et medlem som har deltatt i denne konkurransen fire ganger, er lagets største frykt duplikatsårbarheter eller at produsenten raskt vil lappe sikkerhetsfeilene som laget har registrert. I fjor vant Viettel-laget bare andreplassen fordi de ble straffet for å ha en duplikatsårbarhet.

Videre oppsto det utfordringer i siste liten, ettersom visumprosedyrene ble forsinket, noe som forhindret hele laget fra å reise til Toronto (Canada) i tide til konkurransen på stedet. I stedet måtte de 14 medlemmene av VCS-laget konkurrere online, og de bekymret seg stadig for potensielle problemer som kanskje ikke ville bli løst i tide under kampen ...

Men sluttresultatet taler for seg selv… Ikke bare vant VCS-laget mesterskapet, men de oppnådde også en spektakulær seier.

«Da vi vant i den siste topp 10-kategorien, brøt hele laget ut i glede og lykke fordi vi hadde bevist at dette mesterskapet var en overbevisende seier, uten rom for tvil», mintes Nguyen Xuan Hoang stolt det øyeblikket.

Etter å ha deltatt i Pwn2Own i fire år på rad, løftet VCS-teamet endelig Pwn2Own-mesterskapstroféet for første gang. Dette er en konkurranse innen programvare- og forbrukerelektronikkhacking som arrangeres to ganger i året av cybersikkerhetsorganisasjonen Zero Day Initiative, og regnes som en av de mest utfordrende cybersikkerhetskonkurransene i verden i dag.

Nguyen Son Hai, direktør i VCS, sa at Viettel i 2020 oppnådde sin første seier i denne «konkurransen» i Smart TV-kategorien. I 2021 kom Viettel blant de 5 beste. I 2022 sikret de seg andreplassen. Og i år steg de og sikret seg mesterskapstittelen med en overveldende poengsum.

Konkurransen hos Pwn2Own involverer ikke bare anerkjente cybersikkerhetsteam over hele verden, men også store globale produsenter og teknologiselskaper. Hver konkurranse vil presentere utfordringer knyttet til populære programvare- eller maskinvareenheter som Windows-operativsystemet, Apple-, Xiaomi- og Samsung-telefoner, eller Canon- og HP-skrivere, osv.

Lag må konkurrere om å finne tidligere ukjente sikkerhetssårbarheter i programvare og enheter, og deretter demonstrere hvordan man kan utnytte disse sårbarhetene live innen 30 minutter.

«Hvorfor kan vi si at konkurrentene ikke bare er andre sikkerhetsekspertgrupper, men også enhetsprodusenter som Apple, Xiaomi, Canon, TP-Link ... fordi de hater å bli beskyldt for å ha sårbarheter i enhetene sine, noe som ville svekket kundenes tillit. Disse enhetsleverandørene har alltid et sikkerhetsteam og er villige til å bruke store summer på å fikse feil i produktene sine før konkurransen finner sted, slik at produktene deres ikke blir vanæret i publikums øyne», delte Nguyen Hong Quang, et medlem av VCS-teamet, med avisen Tuoi Tre .

Derfor vil konkurransen være intens fra det øyeblikket spørsmålene publiseres og helt til siste liten. Det er fullt mulig at lagene oppdager feil, men utviklerne vil uventet rette dem rett før konkurransedagen, noe som fører til at ett lag mister alt det harde arbeidet og alle prestasjonene sine.

Derfor, «etter hvert som forestillingstiden nærmet seg, måtte vi dele opp i dag- og nattskift for å «overvåke» om sårbarhetene vi oppdaget fortsatt eksisterte, og følge nøye med på produsentene for å se om de rettet feilene vi hadde funnet», sa Ngo Anh Huy, en erfaren Pwn2Own-spiller fra VCS-teamet.

Pwn2Own Toronto-konkurransen i 2023 fokuserer på maskinvare, inkludert kategorier som mobiltelefoner, smarthøyttalere, overvåkingssystemer, nettverksbaserte lagringssystemer og kontorelektronikk. Hver kategori tilbyr premier fra $30 000 til $100 000 og poeng fra 2 til 10, avhengig av vanskelighetsgraden på å hacke enheten og fullføringsnivået på hackingdemonstrasjonen.

Den mest verdifulle premien, både når det gjelder belønning og poeng, er den siste kategorien, en mash-up, som krever at lag kjører angrepskode på en av nettverksruterne som er tilgjengelige i konkurransen og dermed angriper en enhet i de nevnte kategoriene, med en premie på $100 000 og 10 poeng.

Etter å ha fullført de individuelle oppgavene og angrepet Xiaomi 13 Pro-telefoner, QNAP TS 464-lagringssystemer, Canon imageClass MF753Cdw-skrivere og Sonos Era 100-høyttalere, oppnådde VCS-teamet 20 poeng, og sikret seg nesten mesterskapet, mens motstanderen deres, Sea Security, bare nådde 17,25 poeng etter å ha fullført både den individuelle og den kombinerte oppgaven.

Selv om det intense konkurransepresset har avtatt, fortsetter den siste kategorien å hjemsøke VCS-ingeniørene, fordi mangel på poeng i mash-up-utfordringen var grunnen til at de gikk glipp av mesterskapet i fjor. «Denne gangen, da vi deltok i smash-up-kategorien, var vi igjen i en ulempe da vi ble trukket ut til å konkurrere senere. Hvis vi gjorde den samme feilen som det forrige laget, ville vi mistet poeng», delte Ngo Anh Huy. Denne overlappende feilen resulterte i at VCS var 2,5 poeng bak vinnerlaget i fjorårets Pwn2Own-turnering.

«I år forsøkte vi ikke bare å utnytte nye sårbarheter, men vi valgte også bevisst sårbarheter som var svært vanskelige å finne og som sannsynligvis ikke ville bli duplisert av andre team, eller som kanskje var enkle å finne, men vanskelige å utnytte, og som også hadde mange reservealternativer. Dette er resultatet av tre måneder med fokusert forskning fra hele teamet», sa Huy.

Som et resultat oppnådde VCS-laget en perfekt poengsum på 10/10 i den sammenlagte kategorien og vant det samlede mesterskapet med totalt 30 poeng, og slo dermed andreplassen med 12,5 poeng, og sikret seg en spektakulær og fullstendig seier.

«Vi valgte Pwn2Own for å teste ferdighetene våre fordi det er en konkurranse om de mest populære enhetene i verden, fra ledende produsenter med strenge testprosedyrer», sa Nguyen Son Hai, direktør i VCS. «Å investere i et spesialisert forskerteam og teste ferdighetene våre på den internasjonale scenen er en del av VCS' innsats for å utvikle menneskelige ressurser.»

VCS-teamets reise til Pwn2Own 2023-mesterskapet er kulminasjonen av en lang og suksessrik innsats, et levende vitnesbyrd om den lenge holdte visjonen til Viettel Groups lederskap innen informasjonssikkerhet.

For over ti år siden, da VCS-direktør Nguyen Son Hai var like gammel som medlemmene av Pwn2Own 2023-mesterskapet er nå, var ledelsen i Viettel Group fast bestemt på å investere innen informasjonssikkerhet.

De første frøene til et gryende felt ble sådd tidlig av Viettel, og de fikk systematisk og strategisk investering og omsorg.

VCS' grundige forskningsreise startet i de første årene, med bare seks personer som i utgangspunktet jobbet med informasjonssikkerhet. Siden 2011 har VCS-teamet utført simulerte angrep med enheter innenfor Viettel-gruppen for å identifisere sikkerhetssårbarheter.

«Fordi vi driver kritisk infrastruktur, er Viettels visjon å forske på cybersikkerhet som en hjørnestein», sa Son Hai. «Innen cybersikkerhet er mennesker den viktigste faktoren. Selv når man bruker verdens beste produkter, hvis de kun brukes som sluttbruker, er risikoen for angrep fortsatt svært høy, mens kritisk infrastruktur som Viettels mobil- og internettjenester er mål for angrep fra de største gruppene i verden.»

For å bygge et team av eksperter for å beskytte kritisk infrastruktur, har VCS som mål å utdanne cybersikkerhetspersonell med kapasiteter som tilsvarer verdensstandarder. Fra 2015 og frem til i dag har Viettel og VCS utdannet 450 studenter, hvorav 5 % av de mest egnede kandidatene har blitt rekruttert til å fortsette i arbeidet, sa Hai.

«Etter å ha bygget et ekspertteam og investert systematisk i grundig forskning, fortsetter vi å søke måter å investere i å forbedre de offensive ferdighetene til VCS-ekspertteamet. Deltakelse i konkurranser i verdensklasse er også rettet mot dette målet», sa Nguyen Son Hai.

I 2013 begynte VCS å undersøke nulldagssårbarheter – ukjente og uoppdaterte sårbarheter, og derfor de dyreste å utnytte. Anh Huy og Hong Quang var blant de første spesialistene som gjorde dette. I 2015 hadde VCS-teamet funnet sine første sårbarheter, og til dags dato har antallet sårbarheter oppdaget av VCS nådd 400.

«Ingen vietnamesisk bedrift har nådd et slikt tall, og det finnes heller ikke mange i verden», uttalte Hai.

Muligheten for opplæring gjennom grundig forskningsdeltakelse er grunnen til at VCS er en attraktiv arbeidsplass for cybersikkerhetseksperter som nettopp vant førstepremien på Pwn2Own. Da han ble spurt om hvorfor han valgte Viettel, sa Anh Huy: «Ut fra min erfaring er det ikke mange selskaper som er villige til å investere langsiktig i cybersikkerhetsforskning og forskningsteam.»

«Spesielt innen cybersikkerhet er det menneskelige elementet den viktigste faktoren. Derfor er VCS alltid bevisst på å trene og oppgradere teamet sitt og bygge opp påfølgende generasjoner av høyt kvalifiserte medarbeidere, alltid klare til å takle utfordringer på internasjonalt nivå», understreket VCS-direktør Nguyen Son Hai.

Under prisutdelingen gratulerte styreleder og administrerende direktør i Viettel Group, Tao Duc Thang, teammedlemmene med deltakelsen i konkurransen, og uttrykte sin stolthet over Viettels «white-hat hackere». Han bekreftet: «Viettel er stolte av at VCS-teamet vant en prestisjetung pris innen global cybersikkerhet, og «konkurrerer» med ledende globale utstyrsprodusenter med store FoU-enheter.»

Lederen for Viettel Group vurderte at «Pwn2Own er en prestisjefylt konkurranse med svært høy vanskelighetsgrad for enhver hacker. Konkurransen sammenlignes med en 'kamp' mot produsenter med verdens beste informasjonssikkerhetsteam, klare til å gjengjelde hackere helt til siste liten. Det er et spill uten aldersgrense, og kan til og med involvere multinasjonale samarbeid...» Derfor uttalte Tao Duc Thang: «Å vinne Pwn2Own 2023-mesterskapet har brakt ære til Viettel og Vietnam på den internasjonale scenen», sa gruppens styreleder stolt.

Styreleder Cao Duc Thang erkjente også at feltet cybersikkerhet er enormt, en lang reise for Viettels eksperter, og at det er mange utfordringer foran oss.

«Det er ikke lett å opprettholde topposisjonen, så vi må fortsette å finpusse ferdighetene våre og ha store drømmer, og stadig strebe etter å gjøre disse drømmene til virkelighet for å bringe Vietnam til verden», understreket Tao Duc Thang.

Styrelederen i Viettel Group delte også at konsernet i fremtiden vil ha spesifikke retningslinjer for å utdanne høykvalifiserte menneskelige ressurser, slik at de kan fortsette å vie seg til arbeidet sitt med ro i sinnet.

Da han tildelte oppgaver til VCS, understreket Tao Duc Thang at VCS må fortsette å utdanne flere sikkerhetseksperter, med fokus på å lære opp neste generasjon med det beste grunnlaget for å tjene ikke bare selskapet, men også landet, og beskytte nasjonen i cyberspace.