В'єттель «Хакер» залишає свій слід на карті світу

Трохи після першої години ночі 27 жовтня в яскраво освітленій кімнаті компанії Viettel Cyber ​​Security Company (VCS) 14 членів команди VCS вибухнули радістю: команда виграла чемпіонат найбільших та найпрестижніших у світі змагань з кібератаки Pwn2Own 2023.

Це не лише очікуваний результат трьох місяців безперервної, цілодобової роботи всієї команди, а й наполегливої ​​боротьби з найсильнішими суперниками з усього світу !

Це не лише перша солодка нагорода для наймолодшого члена команди, До Ань Зунга, 2003 року народження, який зараз є студентом третього курсу Технологічного університету (VNU Hanoi)!

Для таких учасників, як Нго Ань Хюй, Нгуєн Суан Хоанг, Нгуєн Хонг Куанг…, які вже кілька років поспіль випробовують свою удачу на цьому турнірі, справа не лише в бажанні досягти вершини змагань!

Також славетним досягненням було здобути перше місце для країни в одному з найпрестижніших світових змагань, що підтвердило можливості в'єтнамського народу в галузі інформаційної безпеки та захисту.

А найголовніше, це «солодкі плоди», зібрані з насіння, яке Viettel наполегливо сіяла протягом багатьох років. Сьогодні, з VCS та її командою експертів з інформаційної безпеки, Viettel може з гордістю стверджувати, що є однією з провідних світових компаній у сфері інформаційної безпеки та захисту.

Усі 14 членів команди VCS, яка виграла чемпіонат Pwn2Own 2023, дуже молоді. Більшість учасників — представники покоління 90-х, а наймолодший учасник народився у 2003 році.

Але більшість членів команди мають багаторічний досвід та безліч досягнень у сфері інформаційної безпеки. Навіть наймолодший член команди, До Ань Зунг, проявив себе: саме Зунг досяг дива в цих змаганнях, перемігши в одній категорії та зробивши свій внесок у загальний результат команди.

Завершуючи фінальні змагання ввечері 27 жовтня, команда Viettel Cyber ​​​​Security (VCS) офіційно здобула перемогу, набравши 30 очок Master of Pwn, залишивши команду, яка посіла друге місце, значно позаду на 12,75 бала.

З цим переконливим результатом VCS забезпечила собі чемпіонський титул, випередивши багатьох міжнародних суперників, які вважалися сильними претендентами на чемпіонство турніру, таких як Sea Security (Сінгапур), Vupen, Synactiv (Франція) та Devcore (Тайвань - минулорічний чемпіон)...

Розповідаючи про труднощі під час підготовки до змагань, член команди VCS Ха Ань Хоанг сказав: «За три місяці до змагань організатори оголосили лише про обладнання, яке потрібно було опанувати. Тому у нас було лише три місяці на підготовку, бо саме тоді команда змогла придбати обладнання для навчання. Багато одиниць обладнання довелося імпортувати з-за кордону, і їх доставка до В'єтнаму зайняла місяці».

За словами іншого члена команди, Нгуєн Суан Хоанга, «У змаганнях беруть участь учасники, які вже давно. Вони мають великий досвід, а також є дуже сильні конкуренти як в економічному , так і в професійному плані. Команда VCS сповнена рішучості вийти на змагання з максимально ретельною підготовкою, єдністю та відповідною стратегією, щоб досягти найвищого можливого успіху в цьогорічних змаганнях».

Хоанг також поділився тим, що минулого року команда VCS посіла друге місце в цих змаганнях з результатом, дуже близьким до чемпіона, програвши лише 2,5 очка. Тому команда рішуче налаштована прагнути чемпіонства цього року.

Але шлях до чемпіонства не простий: цілями атак у цьому змаганні є всі популярні пристрої та програмне забезпечення по всьому світу від провідних виробників, таких як Microsoft, Apple, Google, Samsung… – поділився Нгуєн Суан Хоанг.

Щоб відповідати вимогам конкурсу, пристрій довелося замовити в США, але через хвилинну недбалість він вийшов з ладу, оскільки використовував джерело живлення 110 В, придатне для ринку США, тоді як у В'єтнамі використовується електроенергія 220 В.

За словами Нго Ань Хюя, учасника, який брав участь у цих змаганнях чотири рази, найбільший страх команди — це дубліковані вразливості або те, що виробник швидко виправить недоліки безпеки, які зареєструвала команда. Минулого року команда Viettel посіла друге місце лише тому, що її оштрафували за дублікатну вразливість.

Крім того, в останню хвилину виникли труднощі, оскільки візові процедури затримувалися, що завадило всій команді вчасно приїхати до Торонто (Канада) для очного змагання. Натомість 14 членам команди VCS довелося змагатися онлайн, постійно хвилюючись про потенційні проблеми, які можуть не бути вирішені вчасно під час матчу…

Але кінцевий результат говорить сам за себе… Команда VCS не лише виграла чемпіонат, а й здобула вражаючу перемогу.

«Коли ми перемогли у фінальній категорії топ-10, вся команда вибухнула радістю та щастям, бо ми довели, що цей чемпіонат був переконливою перемогою, яка не залишила місця для сумнівів», – з гордістю згадував той момент Нгуєн Суан Хоанг.

Після участі в Pwn2Own протягом чотирьох років поспіль команда VCS нарешті вперше підняла чемпіонський трофей Pwn2Own. Це змагання з хакерства програмного забезпечення та побутової електроніки, що проводиться двічі на рік організацією з кібербезпеки Zero Day Initiative, і вважається одним з найскладніших змагань з кібербезпеки у світі сьогодні.

Пан Нгуєн Сон Хай, директор VCS, розповів, що у 2020 році Viettel здобула свою першу перемогу в цьому «змаганні» в категорії Smart TV. У 2021 році Viettel потрапила до топ-5. У 2022 році вона посіла друге місце. А цього року піднялася, щоб здобути чемпіонський титул з переконливим результатом.

У змаганнях Pwn2Own беруть участь не лише відомі команди з кібербезпеки з усього світу, а й великі світові виробники та технологічні корпорації. Кожне змагання представлятиме завдання, пов'язані з популярними програмними або апаратними пристроями, такими як операційна система Windows, телефони Apple, Xiaomi та Samsung, або принтери Canon та HP тощо.

Команди повинні змагатися у пошуку раніше невідомих вразливостей безпеки в програмному забезпеченні та пристроях, а потім протягом 30 хвилин продемонструвати, як використати ці вразливості в прямому ефірі.

«Чому ми можемо стверджувати, що конкурентами є не лише інші групи експертів з безпеки, а й виробники пристроїв, такі як Apple, Xiaomi, Canon, TP-Link… тому що вони ненавидять, коли їх звинувачують у наявності вразливостей у їхніх пристроях, які можуть підірвати довіру клієнтів. Ці постачальники пристроїв завжди мають команду безпеки та готові витрачати великі суми грошей на виправлення помилок у своїх продуктах до початку конкурсу, щоб їхні продукти не були зганьблені в очах громадськості», – поділився Нгуєн Хонг Куанг, член команди VCS, з газетою Tuoi Tre .

Тому змагання будуть напруженими з моменту публікації питань і до останньої хвилини. Цілком можливо, що команди виявлять недоліки, але розробники несподівано виправлять їх прямо перед днем ​​змагань, що призведе до втрати однієї з команд усієї її наполегливої ​​праці та досягнень.

Тому «з наближенням часу виступу нам довелося розділитися на денну та нічну зміни, щоб «моніторингувати», чи все ще існують виявлені нами вразливості, та уважно стежити за продюсерами, щоб побачити, чи виправили вони знайдені нами помилки», — сказав Нго Ань Хюй, досвідчений гравець у Pwn2Own з команди VCS.

Конкурс Pwn2Own Toronto 2023 року зосереджений на апаратному забезпеченні, включаючи такі категорії, як мобільні телефони, розумні колонки, системи спостереження, мережеві системи зберігання даних та офісна електроніка. Кожна категорія пропонує призи від 30 000 до 100 000 доларів США та оцінюється від 2 до 10 балів залежно від складності злому пристрою та рівня виконання демонстрації злому.

Найціннішим призом, як з точки зору винагороди, так і балів, є фінальна категорія – mash-up, у якій команди мають виконати експлойт-код на одному з мережевих маршрутизаторів, наданих у конкурсі, і таким чином атакувати пристрій у вищезгаданих категоріях. Приз становить 100 000 доларів США та 10 балів.

Після виконання індивідуальних завдань та успішної атаки телефонів Xiaomi 13 Pro, систем зберігання даних QNAP TS 464, принтерів Canon imageClass MF753Cdw та колонок Sonos Era 100, команда VCS набрала 20 балів, майже забезпечивши собі чемпіонство, оскільки їхній суперник, Sea Security, набрав лише 17,25 бала після виконання як індивідуальних, так і комбінованих завдань.

Хоча інтенсивний конкурентний тиск спав, фінальне змагання продовжує переслідувати інженерів VCS, оскільки брак очок у змаганні з машапів став причиною, чому вони пропустили чемпіонат минулого року. «Цього разу, беручи участь у категорії машапів, ми знову опинилися у невигідному становищі, коли нас вибрали для участі у подальшому жеребкуванні. Якби ми зробили ту саму помилку, що й попередня команда, ми б втратили очки», – поділився Нго Ань Хюй. Ця помилка, що призвела до того, що VCS відставала на 2,5 очки від команди-переможця минулорічного турніру Pwn2Own.

«Цього року ми не лише прагнули використати нові вразливості, але й навмисно обрали вразливості, які було дуже важко знайти та які навряд чи могли бути продубльовані іншими командами, або які могли бути легко знайдені, але важко використати, а також мали багато резервних варіантів. Це результат трьох місяців цілеспрямованих досліджень усією командою», – сказав Х'юй.

В результаті, команда VCS отримала ідеальний бал 10/10 у комбінованій категорії та виграла загальний чемпіонат із загальною кількістю 30 балів, значно випередивши команду, яка посіла друге місце, на 12,5 балів, забезпечивши собі вражаючу та повну перемогу.

«Ми обрали Pwn2Own для перевірки своїх навичок, оскільки це змагання на найпопулярніших пристроях у світі від провідних виробників із суворими процедурами тестування», – сказав пан Нгуєн Сон Хай, директор VCS. «Інвестування у спеціалізовану дослідницьку команду та перевірка наших навичок на міжнародній арені є частиною зусиль VCS щодо розвитку людських ресурсів».

Шлях команди VCS до чемпіонату Pwn2Own 2023 року є кульмінацією довгих, виснажливих зусиль, яскравим свідченням давнього бачення лідерства Viettel Group у сфері інформаційної безпеки.

Більше десяти років тому, коли директор VCS Нгуєн Сон Хай був того ж віку, що й члени чемпіонської команди Pwn2Own 2023 року зараз, керівництво Viettel Group було рішуче налаштовано інвестувати в сферу інформаційної безпеки.

Перше насіння для зароджуючого поля було посіяно компанією Viettel на ранній стадії, і воно отримало систематичні та стратегічні інвестиції та догляд.

Глибокі дослідження VCS розпочалися на ранніх етапах її існування, коли над інформаційною безпекою спочатку працювало лише шість осіб. З 2011 року команда VCS проводила симульовані атаки з підрозділами Viettel Group для виявлення вразливостей безпеки.

«Оскільки ми керуємо критично важливою інфраструктурою, бачення Viettel полягає в тому, щоб досліджувати кібербезпеку як наріжний камінь», – сказав пан Сон Хай. «У кібербезпеці люди є найважливішим фактором. Навіть при використанні найкращих у світі продуктів, якщо їх використовувати лише кінцевим користувачем, ризик атаки залишається дуже високим, тоді як критична інфраструктура, така як мобільні та інтернет-послуги Viettel, є ціллю атак з боку найбільших груп у світі».

Щоб створити команду експертів для захисту критичної інфраструктури, VCS прагне навчити персонал з кібербезпеки з можливостями, еквівалентними світовим стандартам. З 2015 року по теперішній час Viettel та VCS навчили 450 студентів, з яких 5% найбільш підходящих кандидатів були залучені до роботи, сказав пан Хай.

«Після створення команди експертів та систематичного інвестування в глибокі дослідження ми продовжуємо шукати шляхи інвестування в покращення наступальних навичок команди експертів VCS. Участь у змаганнях світового класу також спрямована на досягнення цієї мети», – сказав пан Нгуєн Сон Хай.

У 2013 році VCS почала досліджувати вразливості нульового дня – невідомі та невиправлені вразливості, а отже, найдорожчі для експлуатації. Ань Хью та Хонг Куанг були серед перших фахівців, які це зробили. До 2015 року команда VCS виявила свої перші вразливості, і на сьогоднішній день кількість виявлених VCS вразливостей досягла 400.

«Жоден в'єтнамський бізнес не досяг такого показника, і у світі їх небагато», – заявив пан Хай.

Можливість навчання через участь у поглиблених дослідженнях є причиною, чому VCS є привабливим робочим місцем для експертів з кібербезпеки, які щойно отримали перший приз на Pwn2Own. На запитання, чому він обрав Viettel, Ань Хуй відповів: «З мого досвіду, не так багато компаній готові довгостроково інвестувати в дослідження та дослідницькі команди в галузі кібербезпеки».

«Особливо у сфері кібербезпеки людський фактор є найважливішим. Тому VCS завжди приділяє увагу навчанню та підвищенню кваліфікації своєї команди, а також формуванню наступних поколінь висококваліфікованих співробітників, завжди готових до вирішення викликів міжнародного рівня», – наголосив директор VCS Нгуєн Сон Хай.

На церемонії нагородження, вітаючи членів команди з участю у змаганнях, голова правління та генеральний директор Viettel Group Тао Дик Тханг висловив свою гордість за «білих хакерів» Viettel. Він підтвердив: «Viettel пишається тим, що команда VCS отримала престижну нагороду в галузі глобальної кібербезпеки, «змагаючись» з провідними світовими виробниками обладнання з великими науково-дослідними підрозділами».

Керівник Viettel Group оцінив, що «Pwn2Own – це престижні змагання з дуже високим рівнем складності для будь-якого хакера. Змагання порівнюються з «битвою» проти виробників з найкращими командами з інформаційної безпеки у світі, готовими відповідати хакерам до останньої хвилини. Це гра без вікових обмежень, яка може навіть включати багатонаціональну співпрацю…». Тому пан Тао Дик Тханг заявив: «Перемога в чемпіонаті Pwn2Own 2023 принесла славу Viettel та В'єтнаму на міжнародній арені», – з гордістю сказав голова групи.

Голова Цао Дик Тханг також визнав, що сфера кібербезпеки є величезною, це довгий шлях для експертів Viettel, і що попереду багато викликів.

«Утримувати лідируючі позиції нелегко, тому нам потрібно постійно вдосконалювати свої навички та мати великі мрії, постійно прагнучи втілити ці мрії в реальність, щоб зробити В'єтнам світовим лідером», – наголосив пан Тао Дик Тханг.

Голова Viettel Group також повідомив, що в майбутньому Група матиме конкретну політику щодо навчання висококваліфікованих людських ресурсів, щоб вони могли продовжувати присвячувати себе своїй роботі зі спокійною душею.

Доручаючи завдання VCS, пан Тао Дик Тханг наголосив, що VCS необхідно продовжувати підготовку фахівців з безпеки, зосереджуючись на підготовці наступного покоління з найкращою основою для служіння не лише корпорації, а й країні, захищаючи націю в кіберпросторі.