Виеттель «Хакер» вписал свое имя на карту мира

В 1:00 ночи 27 октября в еще освещенном помещении Viettel Cyber ​​Security Company (VCS) 14 членов команды VCS взорвались от радости: команда выиграла чемпионат крупнейшего и самого престижного в мире соревнования по кибератакам Pwn2Own 2023.

Это был не только ожидаемый результат трех месяцев непрерывной работы днем ​​и ночью всей команды и упорной борьбы с сильнейшими соперниками со всего мира !

Это не только первый сладкий плод для самого молодого члена команды, До Ань Зунга, родившегося в 2003 году и в настоящее время студента 3-го курса Технологического университета (VNU)!

Это не только желание достичь наивысшей позиции в соревновании для таких участников, как Нго Ань Хюй, Нгуен Суан Хоанг, Нгуен Хонг Куанг..., которые пробовали свои силы в этом турнире на протяжении нескольких лет!

Для нас также большая честь принести стране высшую позицию в одном из самых престижных конкурсов мира, подтвердив потенциал вьетнамского народа в области информационной безопасности и защиты информации.

И, прежде всего, это «сладкий плод», собранный из семян, которые Viettel упорно сажал много лет назад. На сегодняшний день Viettel, имея VCS и команду экспертов по информационной безопасности, может гордиться тем, что является одной из ведущих мировых компаний в области информационной безопасности и надежности.

Все 14 участников команды VCS, выигравшей чемпионат Pwn2Own 2023, очень молоды. Большинство участников — представители поколения 9x, самый молодой участник родился только в 2003 году.

Но большинство команды «воюют» много лет, имеют богатый опыт и достижения в области информационной безопасности и защиты информации. Даже самый молодой член команды, До Ань Зунг, уже заявил о себе: именно Зунг сотворил чудо в этом конкурсе, выиграв категорию и внеся вклад в общие результаты всей команды.

По итогам финального тура вечером 27 октября команда Viettel Cyber ​​Security (VCS) официально одержала наивысшую победу, набрав 30 очков Master of Pwn, сократив отставание от команды, занявшей второе место, в 12,75 очков.

Благодаря этому убедительному результату VCS завоевала чемпионский титул, одержав победу над многими международными соперниками, которые считаются сильными кандидатами на чемпионство турнира, такими как Sea Security (Сингапур), Vupen, Synacktiv (Франция) и Devcore (Тайвань — команда-чемпион прошлого года)...

Рассказывая о трудностях, с которыми пришлось столкнуться во время подготовки к соревнованиям, член команды VCS Ха Ань Хоанг сказал: «За три месяца до соревнований Оргкомитет объявил об оборудовании, которое будет завоевано. Поэтому время подготовки составило всего три месяца, поскольку на тот момент команда только что закупила оборудование для исследования. Из которых многие устройства пришлось импортировать из-за границы, и ждать их прибытия во Вьетнам пришлось целый месяц».

По словам другого члена команды, Нгуена Суан Хоанга, «В соревновании участвуют участники, которые участвуют уже долгое время. У них большой опыт, а также есть очень сильные конкуренты как в экономическом , так и в профессиональном плане. Команда VCS решила, что мы должны выйти на соревнование с самой тщательной подготовкой, сплоченностью и подходящей стратегией соревнования, чтобы добиться наивысшего успеха в соревновании этого года».

Хоанг добавил, что в прошлом году команда VCS заняла второе место в этом соревновании с результатом, который был очень близок к команде-чемпиону, уступив всего 2,5 очка. Поэтому команда полна решимости нацелиться на чемпионство в этом году.

Но путь к чемпионству непрост: целями атак в этом соревновании являются все популярные в мире устройства и программное обеспечение от ведущих производителей, таких как Microsoft, Apple, Google, Samsung... - поделился Нгуен Суан Хоанг.

Чтобы соответствовать требованиям конкурса, устройство пришлось заказать в США, но из-за минутной неосторожности устройство «умерло», поскольку в нем использовался источник питания напряжением 110 В, подходящий для рынка США, в то время как во Вьетнаме используется напряжение 220 В.

По словам Нго Ань Хюя, участника, который участвовал в этом соревновании четыре раза, больше всего команда боится дублирующихся ошибок или того, что производитель не успеет исправить дыры в безопасности, которые зарегистрировала команда. В прошлом году команда Виеттеля заняла второе место только потому, что у них вычли баллы за дублирующую уязвимость.

Мало того, вызов пришел в последнюю минуту, из-за задержки визы вся команда не смогла вовремя приехать в Торонто (Канада), чтобы соревноваться вживую. Вместо этого 14 членам команды VCS пришлось соревноваться онлайн, беспокоясь о возможных проблемах, которые не удалось решить во время соревнования...

Но окончательный результат сказал все… Команда VCS не просто победила, а победила эффектно.

«Когда мы выиграли последнюю десятку в высшей категории, вся команда взорвалась радостью и счастьем, потому что мы доказали, что этот чемпионат стал убедительной победой, без всяких сомнений», - с гордостью вспоминал тот момент Нгуен Суан Хоанг.

После постоянного участия в Pwn2Own в течение последних четырех лет команда VCS впервые выиграла чемпионат Pwn2Own. Это соревнование по атакам на программное обеспечение и бытовую электронику, проводимое дважды в год организацией по кибербезопасности Zero Day Initiative, одно из самых «сложных» соревнований по кибербезопасности в мире на сегодняшний день.

Г-н Нгуен Сон Хай, директор VCS, сказал, что в 2020 году Viettel одержал свою первую победу на этой «игровой площадке» в категории SmartTV. В 2021 году Viettel вошел в пятерку лучших. В 2022 году он занял второе место. А в этом году он поднялся и выиграл чемпионат с подавляющим счетом.

В Pwn2Own соревнуются не только известные в мире команды по кибербезопасности, но и крупные производители и технологические корпорации по всему миру. Каждый экзамен будет содержать вопросы по популярным программным или аппаратным устройствам, таким как операционная система Windows, телефоны Apple, Xiaomi, Samsung или принтеры Canon, HP...

Команды соревнуются в поиске неизвестных уязвимостей безопасности в программном обеспечении и устройствах и должны продемонстрировать реальную эксплуатацию этих уязвимостей в течение 30 минут.

«Почему мы можем сказать, что противниками являются не только другие группы экспертов по безопасности, но и производители устройств, такие как Apple, Xiaomi, Canon, TP Link... потому что они ненавидят, когда их устройства оказываются уязвимыми, из-за чего они теряют доверие клиентов. У этих поставщиков устройств всегда есть команда по безопасности, и они готовы платить большие суммы денег, чтобы исправить ошибки в своих продуктах до начала соревнований, чтобы продукты не опозорились перед общественностью», — поделился с Tuoi Tre эксперт Нгуен Хонг Куанг, член команды VCS.

Поэтому конкуренция будет напряженной с самого начала и до последней минуты. Ведь вполне возможно, что обнаруженные командами уязвимости будут неожиданно исправлены производителем прямо перед днем ​​соревнований, в результате чего команда потеряет все свои усилия и достижения.

Поэтому «ближе к моменту выступления нам приходилось работать день и ночь, чтобы «наблюдать», существуют ли еще обнаруженные нами уязвимости, и внимательно следить за производителем, чтобы видеть, исправили ли они обнаруженные нами ошибки», — сказал Нго Ань Хуэй, опытный игрок Pwn2Own из команды VCS.

Конкурс Pwn2Own 2023 Toronto посвящен оборудованию, включая мобильные телефоны, смарт-колонки, системы видеонаблюдения, сетевые системы хранения данных и офисную электронику. В каждой категории призы варьируются от $30 000 до $100 000, а оценки варьируются от 2 до 10 баллов в зависимости от сложности устройства и уровня завершения демонстрации атаки.

Самой ценной как по призам, так и по очкам является последняя категория — мэшап, в которой командам необходимо выполнить код эксплойта на одном из предоставленных конкурсу сетевых маршрутизаторов и таким образом атаковать устройство в вышеупомянутых категориях за приз в размере 100 000 долларов США и 10 очков.

Завершив индивидуальные категории, успешно одержав победу над телефоном Xiaomi 13 Pro, системой хранения данных QNAP TS 464, принтером Canon imageClass MF753Cdw и динамиком Sonos Era 100, команда VCS набрала 20 очков, что почти наверняка обеспечило ей победу в чемпионате, поскольку ее соперник Sea Security набрал всего 17,25 очков после завершения всех индивидуальных категорий и объединенной категории.

Больше нет слишком большого конкурентного давления, но финальная категория все еще преследует инженеров VCS, потому что недостаток очков в соревновании mash-up стал причиной того, что эта команда не попала в чемпионат в прошлом году. «На этот раз, войдя в категорию smash-up, мы продолжаем находиться в невыгодном положении при жеребьевке следующего раунда, если у нас будет та же лазейка, что и у предыдущей команды, с нас снимут очки», — поделился Нго Ань Хуй. Такая повторяющаяся ошибка привела к тому, что VCS отстала на 2,5 очка от команды, занявшей первое место в прошлогоднем Pwn2Own.

«В этом году мы не только пытались эксплуатировать новые уязвимости, но и намеренно выбирали уязвимости, которые было очень трудно найти и которые было трудно перекрыть другим командам, или которые было легко найти, но трудно эксплуатировать, а также имели множество запасных планов. Это результат трех месяцев целенаправленных исследований всей команды», — сказал Хай.

В результате команда VCS набрала 10/10 очков в объединенной категории и выиграла чемпионат в общем зачете с общим счетом 30 очков, опередив занявшего второе место на 12,5 очков и одержав убедительную и полную победу.

«Мы выбрали Pwn2Own для участия в соревновании, потому что это соревнование на самых популярных устройствах в мире от ведущих производителей со строгим процессом тестирования», — сказал г-н Нгуен Сон Хай, директор VCS. «Инвестирование в специализированную исследовательскую группу и конкуренция на международной арене являются частью усилий VCS по развитию человеческих ресурсов».

Путь к чемпионству Pwn2Own 2023 команды VCS — это результат долгого пути, наследие, яркая демонстрация многолетнего видения лидеров Viettel Group в сфере информационной безопасности.

Более десяти лет назад, когда директор VCS Нгуен Сон Хай был того же возраста, что и члены команды-чемпиона Pwn2Own 2023, руководители Viettel Group были полны решимости инвестировать в сферу информационной безопасности.

Вскоре Виеттель посадил первые семена молодого поля и занялся за ними систематическим и стратегическим уходом.

Глубокое исследовательское путешествие VCS началось в ранние годы, когда изначально информационной безопасностью занимались всего шесть человек. С 2011 года команда VCS проводила имитационные атаки с подразделениями Viettel Group, чтобы выявить проблемы безопасности.

«В связи с эксплуатацией критических инфраструктур Viettel имеет исследовательское видение, которое рассматривает безопасность сети как столп», — сказал г-н Сон Хай. «В сетевой безопасности люди являются самым важным фактором. Даже при использовании лучших в мире продуктов, но только в качестве конечного пользователя, риск подвергнуться атаке все еще очень высок, в то время как критические инфраструктуры Viettel, такие как мобильная связь и Интернет, являются объектом атак со стороны крупнейших групп в мире».

Чтобы иметь команду экспертов для защиты критической инфраструктуры, VCS стремится подготовить персонал по кибербезопасности с возможностями, эквивалентными мировым. С 2015 года по настоящее время Viettel и VCS обучили 450 студентов, из которых 5% наиболее подходящего персонала были наняты для продолжения работы, сказал г-н Хай.

«Создав команду экспертов и вложив средства в глубокие исследования, мы продолжаем искать способы инвестирования в улучшение атакующих навыков команды экспертов VCS. Участие в соревнованиях мирового уровня также преследует эту цель», — сказал г-н Нгуен Сон Хай.

В 2013 году VCS начала исследование уязвимостей нулевого дня, уязвимостей, которые были неизвестны и не были исправлены, а потому наиболее дороги, причем Ань Хюи и Хонг Куанг были двумя из первых экспертов. К 2015 году команда VCS обнаружила первые уязвимости, и на сегодняшний день количество уязвимостей, обнаруженных VCS, достигло 400.

«Ни один вьетнамский бизнес не достиг таких показателей, и в мире их не так много», — заявил г-н Хай.

Возможность пройти обучение, участвуя в углубленных исследованиях, является причиной того, что VCS стала привлекательным местом работы для экспертов по кибербезопасности, которые только что заняли первое место на Pwn2Own. Когда его спросили, почему он выбрал Viettel, Ань Хуэй сказал: «По моему опыту, не многие компании готовы инвестировать в долгосрочные исследования и исследовательские группы по кибербезопасности».

«Особенно в сфере кибербезопасности человеческий фактор имеет первостепенное значение. Поэтому VCS всегда заботится об обучении, совершенствовании команды и формировании следующего поколения высококвалифицированных сотрудников, всегда готовых к решению международных проблем», - подчеркнул директор VCS Нгуен Сон Хай.

На церемонии чествования и поздравления членов команды, участвовавших в соревновании, председатель и генеральный директор Viettel Group Тао Дык Тханг выразил свою гордость за «белых хакеров» Viettel. Он подтвердил: «Viettel гордится тем, что команда VCS завоевала престижную награду в области глобальной сетевой безопасности, «конкурируя» с ведущими мировыми производителями оборудования с крупными подразделениями НИОКР».

Глава Viettel Group оценил, что «Pwn2Own — это престижное соревнование с очень высоким уровнем сложности для любого хакера. Соревнование можно сравнить с «битвой» с производителями, владеющими ведущими в мире командами по информационной безопасности, готовыми отвечать хакерам до последней минуты. Игра без возрастных ограничений, и в ней даже может быть задействовано многонациональное сотрудничество...» Поэтому г-н Тао Дук Тханг сказал: «Чемпионат Pwn2Own 2023 прославил Viettel и Вьетнам на международной арене», — с гордостью заявил председатель группы.

Председатель Тао Дык Тханг также признал, что сфера кибербезопасности огромна, экспертам Viettel предстоит долгий путь и впереди их ждет много испытаний.

«Удерживать позицию ТОП-1 непросто, поэтому нам нужно продолжать усердно работать и строить большие мечты, постоянно стремясь превратить мечты в реальность, чтобы представить Вьетнам миру», — подчеркнул г-н Тао Дук Тханг.

Председатель Viettel Group также поделился тем, что в ближайшее время Группа разработает конкретную политику по подготовке высококвалифицированных кадров, чтобы они могли и дальше с уверенностью посвящать себя своей работе.

Поручая эту задачу VCS, г-н Тао Дук Тханг подчеркнул, что VCS необходимо продолжать подготовку большего количества экспертов по безопасности, решив обучать следующие поколения, используя наилучшую базу для служения не только корпорации, но и стране, защищая ее в киберпространстве.