Виеттель, известный как «Хакер», оставил свой след на карте мира.

27 октября, чуть позже 1 часа ночи, в ярко освещенном помещении компании Viettel Cyber ​​Security (VCS) 14 членов команды VCS ликовали: команда одержала победу в крупнейшем и самом престижном мировом конкурсе кибератак Pwn2Own 2023.

Это не просто ожидаемый результат трех месяцев непрерывной работы всей команды днем ​​и ночью, но и результат упорной конкуренции с сильнейшими соперниками со всего мира !

Это не только первая приятная награда для самого молодого члена команды, До Ань Дунга, родившегося в 2003 году и в настоящее время являющегося студентом третьего курса Технологического университета (ВНУ Ханой)!

Для таких участников, как Нго Ань Хуй, Нгуен Суан Хоанг, Нгуен Хонг Куанг… которые уже несколько лет подряд пытаются попытать счастья на этом турнире, дело не только в желании достичь вершины соревнований!

Привлечение страны к победе в одном из самых престижных международных конкурсов стало также выдающимся достижением, подтвердившим потенциал вьетнамского народа в области информационной безопасности.

И самое главное, это «сладкий плод», собранный из семян, которые компания Viettel неустанно сеяла на протяжении многих лет. Сегодня, благодаря VCS и своей команде экспертов по информационной безопасности, Viettel может с гордостью заявить, что является одной из ведущих мировых компаний в области информационной безопасности и защиты данных.

Все 14 членов команды VCS, выигравшей чемпионат Pwn2Own 2023, очень молоды. Большинство из них — представители поколения 90-х, а самый младший член команды родился в 2003 году.

Однако большинство членов команды обладают многолетним опытом и богатым багажом достижений в области информационной безопасности. Даже самый молодой член команды, До Ань Дунг, доказал свою состоятельность: именно Дунг совершил чудо на этом конкурсе, победив в одной из категорий и внеся свой вклад в общий результат команды.

Завершив финальный этап соревнований вечером 27 октября, команда Viettel Cyber ​​Security (VCS) официально одержала победу, набрав 30 очков в категории Master of Pwn, опередив команду, занявшую второе место, на 12,75 очков.

Благодаря такому убедительному результату VCS обеспечила себе чемпионский титул, опередив многих международных соперников, считавшихся сильными претендентами на победу в турнире, таких как Sea Security (Сингапур), Vupen, Synacktiv (Франция) и Devcore (Тайвань — прошлогодний чемпион)...

Рассказывая о трудностях, с которыми команда VCS столкнулась во время подготовки к соревнованиям, член команды Ха Ань Хоанг сказал: «За три месяца до соревнований организаторы объявили только о необходимом оборудовании. Поэтому у нас было всего три месяца на подготовку, так как за это время команда смогла приобрести оборудование для изучения. Многие единицы оборудования пришлось импортировать из-за границы, и на их доставку во Вьетнам ушло несколько месяцев».

По словам другого члена команды, Нгуен Суан Хоанга: «В соревнованиях участвуют люди с большим опытом. У них огромный опыт, а также очень сильные соперники как в экономическом , так и в профессиональном плане. Команда VCS полна решимости подойти к соревнованиям с максимально тщательной подготовкой, сплоченностью и подходящей стратегией, чтобы добиться наилучших результатов в этом году».

Хоанг также рассказал, что в прошлом году команда VCS заняла второе место в этом соревновании, набрав результат, очень близкий к результату чемпиона, уступив всего 2,5 очка. Поэтому команда полна решимости бороться за чемпионство в этом году.

Но путь к чемпионству непрост: объектами атак в этом соревновании являются популярные устройства и программное обеспечение со всего мира от ведущих производителей, таких как Microsoft, Apple, Google, Samsung… — поделился Нгуен Суан Хоанг.

Для соответствия требованиям конкурса устройство пришлось заказывать из США, но момент неосторожности привел к его неисправности, поскольку в нем использовался источник питания на 110 В, подходящий для американского рынка, в то время как во Вьетнаме используется электроэнергия на 220 В.

По словам Нго Ань Хуя, участника, принимавшего участие в этом конкурсе четыре раза, больше всего команда опасается дублирования уязвимостей или того, что производитель быстро устранит обнаруженные командой уязвимости. В прошлом году команда Viettel заняла лишь второе место, поскольку была оштрафована за наличие дублирующейся уязвимости.

Кроме того, в последний момент возникли проблемы, поскольку оформление виз затянулось, что помешало всей команде вовремя приехать в Торонто (Канада) на очные соревнования. Вместо этого 14 членам команды VCS пришлось соревноваться онлайн, постоянно беспокоясь о потенциальных проблемах, которые могли не быть решены вовремя во время матча…

Но итоговый результат говорит сам за себя… Команда VCS не только выиграла чемпионат, но и одержала впечатляющую победу.

«Когда мы одержали победу в финале в категории "Топ-10", вся команда ликовала и радовалась, потому что мы доказали, что эта победа в чемпионате была убедительной и не оставляла места для сомнений», — с гордостью вспоминает тот момент Нгуен Суан Хоанг.

После четырех лет участия в Pwn2Own команда VCS наконец-то впервые подняла над головой чемпионский трофей Pwn2Own. Это соревнование по взлому программного обеспечения и потребительской электроники, проводимое дважды в год организацией по кибербезопасности Zero Day Initiative, и считается одним из самых сложных соревнований по кибербезопасности в мире на сегодняшний день.

Директор VCS г-н Нгуен Сон Хай заявил, что в 2020 году компания Viettel одержала свою первую победу в этом «соревновании» в категории Smart TV. В 2021 году Viettel вошла в пятерку лучших. В 2022 году заняла второе место. А в этом году, с огромным отрывом, завоевала чемпионский титул.

В соревнованиях Pwn2Own участвуют не только известные команды по кибербезопасности со всего мира, но и крупные мировые производители и технологические корпорации. В каждом соревновании будут представлены задачи, связанные с популярным программным или аппаратным обеспечением, таким как операционная система Windows, телефоны Apple, Xiaomi и Samsung, принтеры Canon и HP и т. д.

Команды должны соревноваться в поиске ранее неизвестных уязвимостей безопасности в программном обеспечении и устройствах, а затем продемонстрировать, как использовать эти уязвимости в реальных условиях в течение 30 минут.

«Почему мы можем говорить, что конкурентами являются не только другие группы экспертов по безопасности, но и производители устройств, такие как Apple, Xiaomi, Canon, TP-Link…? Потому что они ненавидят обвинения в наличии уязвимостей в своих устройствах, которые подорвут доверие клиентов. У этих поставщиков устройств всегда есть команда специалистов по безопасности, и они готовы тратить большие суммы денег на исправление ошибок в своей продукции до начала конкурса, чтобы их продукция не была опозорена в глазах общественности», — поделился Нгуен Хонг Куанг, член команды VCS, с газетой Tuoi Tre .

Поэтому конкуренция будет ожесточенной с момента публикации вопросов и до самой последней минуты. Вполне возможно, что команды обнаружат недостатки, но разработчики неожиданно исправят их прямо перед днем ​​соревнований, в результате чего одна из команд потеряет всю свою работу и достижения.

Поэтому, "по мере приближения времени тестирования нам пришлось разделиться на дневную и ночную смены, чтобы „отслеживать“ наличие обнаруженных нами уязвимостей и внимательно следить за разработчиками, чтобы увидеть, исправили ли они найденные нами ошибки", - сказал Нго Ань Хуй, опытный игрок в Pwn2Own из команды VCS.

Конкурс Pwn2Own Toronto 2023 посвящен аппаратному обеспечению и включает такие категории, как мобильные телефоны, умные колонки, системы видеонаблюдения, сетевые системы хранения данных и офисная электроника. В каждой категории предусмотрены призы от 30 000 до 100 000 долларов, а количество баллов варьируется от 2 до 10 в зависимости от сложности взлома устройства и уровня выполнения демонстрации взлома.

Самый ценный приз, как по вознаграждению, так и по баллам, — это приз в финальной категории, «мэшап», в котором командам необходимо выполнить эксплойт-код на одном из предоставленных в рамках конкурса сетевых маршрутизаторов и тем самым атаковать устройство из вышеупомянутых категорий. Приз составляет 100 000 долларов и 10 баллов.

После выполнения индивидуальных заданий и успешного уничтожения телефонов Xiaomi 13 Pro, накопителей QNAP TS 464, принтеров Canon imageClass MF753Cdw и колонок Sonos Era 100, команда VCS набрала 20 очков, почти обеспечив себе чемпионство, поскольку их соперник, команда Sea Security, набрала всего 17,25 очков, выполнив как индивидуальные, так и комбинированные задания.

Хотя сильное конкурентное давление спало, финальная категория продолжает преследовать инженеров VCS, поскольку именно недостаток очков в соревновании по созданию мэшапов стал причиной того, что они не попали на чемпионат в прошлом году. «В этот раз, участвуя в категории мэшапов, мы снова оказались в невыгодном положении, когда нас определили в список участников, которые будут соревноваться позже. Если бы мы допустили ту же ошибку, что и предыдущая команда, мы бы потеряли очки», — поделился Нго Ань Хуй. Эта ошибка привела к тому, что VCS отстала от команды-победителя прошлогоднего турнира Pwn2Own на 2,5 очка.

«В этом году мы не только стремились использовать новые уязвимости, но и намеренно выбирали те, которые было очень трудно обнаружить и вряд ли удастся воспроизвести другим командам, или которые было легко обнаружить, но трудно использовать, а также имели множество резервных вариантов. Это результат трех месяцев целенаправленных исследований всей команды», — сказал Хуй.

В результате команда VCS получила идеальную оценку 10/10 в комбинированной категории и выиграла общий чемпионат, набрав в общей сложности 30 очков, значительно опередив занявшую второе место команду на 12,5 очков и обеспечив себе впечатляющую и полную победу.

«Мы выбрали Pwn2Own для проверки своих навыков, потому что это соревнование на самых популярных в мире устройствах от ведущих производителей с жесткими процедурами тестирования», — сказал г-н Нгуен Сон Хай, директор VCS. «Инвестиции в специализированную исследовательскую группу и проверка наших навыков на международной арене являются частью усилий VCS по развитию человеческих ресурсов».

Путь команды VCS к победе в чемпионате Pwn2Own 2023 — это кульминация долгих и трудоемких усилий, яркое свидетельство давнего стремления Viettel Group занять лидирующие позиции в области информационной безопасности.

Более десяти лет назад, когда директору VCS Нгуен Сон Хаю было столько же лет, сколько сейчас членам команды-чемпиона Pwn2Own 2023, руководство Viettel Group было полно решимости инвестировать в область информационной безопасности.

Первые семена для зарождающегося поля были посеяны Виеттелем на раннем этапе, и им были уделены систематические и стратегические инвестиции и уход.

Углубленные исследования VCS начались в первые годы существования компании, когда над информационной безопасностью работали всего шесть человек. С 2011 года команда VCS проводит имитационные атаки с участием подразделений группы Viettel для выявления уязвимостей в системе безопасности.

«Поскольку мы управляем критически важной инфраструктурой, компания Viettel считает исследования в области кибербезопасности краеугольным камнем своей деятельности», — сказал г-н Сон Хай. «В кибербезопасности люди — самый важный фактор. Даже при использовании лучших в мире продуктов, если они используются только конечным пользователем, риск атаки остается очень высоким, в то время как критически важная инфраструктура, такая как мобильные и интернет-сервисы Viettel, становятся мишенью для атак со стороны крупнейших мировых группировок».

Для создания команды экспертов по защите критической инфраструктуры компания VCS стремится подготовить специалистов по кибербезопасности, обладающих компетенциями, эквивалентными мировым стандартам. По словам г-на Хая, с 2015 года по настоящее время Viettel и VCS обучили 450 студентов, из которых 5% наиболее подходящих кандидатов были приняты на работу для продолжения трудовой деятельности.

«Сформировав команду экспертов и систематически инвестируя в углубленные исследования, мы продолжаем искать способы повышения атакующих навыков команды экспертов VCS. Участие в соревнованиях мирового уровня также направлено на достижение этой цели», — сказал г-н Нгуен Сон Хай.

В 2013 году VCS начала исследование уязвимостей нулевого дня — неизвестных и неустраненных уязвимостей, которые, следовательно, являются наиболее дорогостоящими для эксплуатации. Ань Хуй и Хонг Куанг были одними из первых специалистов, которые этим занялись. К 2015 году команда VCS обнаружила свои первые уязвимости, и на сегодняшний день число обнаруженных VCS уязвимостей достигло 400.

«Ни одна вьетнамская компания не достигла таких показателей, да и во всем мире их тоже немного», — заявил г-н Хай.

Возможность обучения посредством углубленного участия в исследованиях — вот почему VCS является привлекательным местом работы для экспертов по кибербезопасности, которые недавно заняли первое место на конкурсе Pwn2Own. На вопрос о причинах выбора Viettel Ань Хуй ответил: «По моему опыту, не многие компании готовы инвестировать в долгосрочные исследования в области кибербезопасности и в исследовательские группы».

«Особенно в сфере кибербезопасности человеческий фактор является важнейшим. Поэтому VCS всегда уделяет особое внимание обучению и повышению квалификации своей команды, а также подготовке будущих поколений высококвалифицированных специалистов, всегда готовых к решению задач международного уровня», — подчеркнул директор VCS Нгуен Сон Хай.

На церемонии награждения председатель и генеральный директор Viettel Group Тао Дык Тханг, поздравляя членов команды с участием в конкурсе, выразил гордость за «белых хакеров» Viettel. Он подтвердил: «Viettel гордится тем, что команда VCS завоевала престижную награду в области глобальной кибербезопасности, «соревнуясь» с ведущими мировыми производителями оборудования, имеющими крупные научно-исследовательские подразделения».

Глава Viettel Group оценил ситуацию так: «Pwn2Own — это престижное соревнование с очень высоким уровнем сложности для любого хакера. Соревнование можно сравнить с «битвой» против производителей, обладающих лучшими в мире командами специалистов по информационной безопасности, готовых дать отпор хакерам до последней минуты. Это игра без возрастных ограничений, и в ней даже могут участвовать многонациональные компании…». Поэтому г-н Тао Дык Тханг заявил: «Победа в чемпионате Pwn2Own 2023 принесла славу Viettel и Вьетнаму на международной арене», — с гордостью сказал председатель группы.

Председатель правления Као Дык Тханг также признал, что область кибербезопасности обширна, что экспертам Viettel предстоит долгий путь, и что впереди много трудностей.

«Удерживать лидирующие позиции непросто, поэтому нам необходимо постоянно совершенствовать свои навыки и строить большие планы, постоянно стремясь воплотить эти планы в реальность, чтобы представить Вьетнам миру», — подчеркнул г-н Тао Дык Тханг.

Председатель правления Viettel Group также сообщил, что в будущем группа будет проводить специальную политику по подготовке высококвалифицированных кадров, чтобы они могли спокойно и с уверенностью продолжать посвящать себя своей работе.

Распределяя задачи между VCS, г-н Тао Дык Тханг подчеркнул, что VCS необходимо продолжать подготовку большего числа экспертов по безопасности, уделяя особое внимание обучению следующего поколения специалистов с наилучшими знаниями и навыками, которые будут служить не только корпорации, но и стране, защищая государство в киберпространстве.