Вієттель «Хакер» залишив своє ім'я на карті світу

27 жовтня, понад 1:00 ночі, у все ще освітленій кімнаті компанії Viettel Cyber ​​​​Security Company (VCS) 14 членів команди VCS вибухнули радістю: команда виграла чемпіонат найбільших та найпрестижніших у світі змагань з кібератаки Pwn2Own 2023.

Це був не лише очікуваний результат трьох місяців безперервної роботи вдень і вночі всієї команди та наполегливої ​​конкуренції з найсильнішими суперниками з усього світу !

Це не лише перший солодкий фрукт для наймолодшого члена команди, До Ань Зунга, який народився у 2003 році та зараз навчається на 3-му курсі Технологічного університету (VNU)!

Для таких учасників, як Нго Ань Хюй, Нгуєн Суан Хоанг, Нгуєн Хонг Куанг…, які пробували свої сили в цьому турнірі вже кілька років, це не лише бажання досягти найвищої позиції в змаганнях!

Також це честь принести країні найвище місце в одному з найпрестижніших змагань світу, підтверджуючи потенціал в'єтнамського народу в галузі інформаційної безпеки та захисту.

І понад усе, це «солодкі плоди», зібрані з насіння, яке Viettel наполегливо сіяла багато років тому. До сьогодні Viettel, маючи VCS та команду експертів з інформаційної безпеки, може пишатися тим, що є однією з провідних світових компаній у сфері інформаційної безпеки та захисту.

14 членів команди VCS, які виграли чемпіонат Pwn2Own 2023, дуже молоді. Більшість учасників належать до покоління 9x, наймолодший учасник народився лише у 2003 році.

Але більшість команди «бореться» вже багато років, має багатий досвід та досягнення у сфері інформаційної безпеки та захисту. Навіть наймолодший член команди, До Ань Зунг, вже заявив про себе: саме Зунг створив диво у цьому змаганні, вигравши категорію, що сприяло загальним результатам усієї команди.

Наприкінці фінального раунду ввечері 27 жовтня команда Viettel Cyber ​​​​Security (VCS) офіційно виграла найвищий бал, набравши 30 очок Master of Pwn, залишивши відставання від команди, яка посіла друге місце, на рівні 12,75 очок.

З цим переконливим результатом VCS закріпила чемпіонський титул проти багатьох міжнародних суперників, яких вважали сильними кандидатами на чемпіонство турніру, таких як Sea Security (Сінгапур), Vupen, Synactiv (Франція) та Devcore (Тайвань - команда-чемпіон минулого року)...

Розповідаючи про труднощі під час підготовки до змагань, член команди VCS Ха Ань Хоанг сказав: «За три місяці до змагань оргкомітет оголосив про пристрої, які потрібно було підкорити. Тому час на підготовку становив лише три місяці, оскільки на той час команда щойно придбала пристрої для дослідження. Багато з них довелося імпортувати з-за кордону, і чекати на їх прибуття до В'єтнаму довелося цілий місяць».

За словами іншого члена команди, Нгуєн Суан Хоанга, «У змаганнях беруть участь учасники, які вже давно. Вони мають великий досвід, а також є дуже сильні конкуренти як у фінансовому , так і в професійному плані. Команда VCS сповнена рішучості вийти на змагання з максимально ретельною підготовкою, солідарністю та відповідною стратегією змагань, щоб досягти найвищого успіху на цьогорічних змаганнях».

Хоанг додав, що минулого року команда VCS посіла друге місце в цих змаганнях з результатом, дуже близьким до команди-чемпіона, програвши лише 2,5 очка. Тому команда рішуче налаштована прагнути чемпіонства цього року.

Але шлях до чемпіонства не простий: цілями атак у цьому змаганні є всі популярні пристрої та програмне забезпечення у світі від провідних виробників, таких як Microsoft, Apple, Google, Samsung... – поділився Нгуєн Суан Хоанг.

Щоб відповідати вимогам конкурсу, пристрій довелося замовити у США, але буквально через мить необережності він «помер», оскільки використовував джерело живлення 110 В, придатне для ринку США, тоді як у В'єтнамі використовується 220 В.

За словами Нго Ань Хюя, учасника, який брав участь у цих змаганнях чотири рази, найбільший страх команди — це дублікати помилок або те, що виробник не встигне виправити діри в безпеці, які команда зареєструвала. Минулого року команда Viettel брала участь у змаганнях і посіла лише друге місце, оскільки їм відняли бали за дублікат вразливості.

Більше того, виклик виник в останню хвилину: через затримку з візою вся команда не змогла вчасно прибути до Торонто (Канада) для участі в особистих змаганнях. Натомість 14 членам команди VCS довелося змагатися онлайн, багато хвилюючись щодо можливих проблем, які не можна було вирішити під час змагань...

Але кінцевий результат сказав сам за себе… Команда VCS не лише перемогла, вони й перемогли вражаюче.

«Коли ми виграли фінішну десятку у категорії з найвищими балами, вся команда вибухнула радістю та щастям, бо ми довели, що цей чемпіонат був переконливою перемогою, без жодних сумнівів», – з гордістю згадував той момент Нгуєн Суан Хоанг.

Після безперервної участі в Pwn2Own протягом останніх чотирьох років, команда VCS вперше виграла чемпіонат Pwn2Own. Це змагання з атак на програмне забезпечення та побутову електроніку, що проводиться двічі на рік організацією з кібербезпеки Zero Day Initiative, одне з найскладніших змагань з кібербезпеки у світі сьогодні.

Пан Нгуєн Сон Хай, директор VCS, зазначив, що у 2020 році Viettel здобула свою першу перемогу на цьому «майданчику» з категорією SmartTV. У 2021 році Viettel увійшла до топ-5. У 2022 році вона посіла друге місце. А цього року піднялася та здобула чемпіонство з переконливим рахунком.

У Pwn2Own змагаються не лише відомі у світі команди з кібербезпеки, а й великі виробники та технологічні корпорації з усього світу. Кожен іспит міститиме питання щодо популярного програмного чи апаратного забезпечення, такого як операційна система Windows, телефони Apple, Xiaomi, Samsung або Canon, принтери HP...

Команди змагаються у пошуку невідомих вразливостей безпеки в програмному забезпеченні та пристроях і повинні продемонструвати використання цих вразливостей у реальному часі протягом 30 хвилин.

«Чому ми можемо стверджувати, що опонентами є не лише інші групи експертів з безпеки, а й виробники пристроїв, такі як Apple, Xiaomi, Canon, TP Link... тому що вони ненавидять, коли їх знають про наявність вразливостей у пристроях, втрачаючи довіру клієнтів. Ці постачальники пристроїв завжди мають команду безпеки та готові платити великі суми грошей, щоб виправити помилки у своїх продуктах до початку конкурсу, щоб продукти не були зганьблені перед публікою», – поділився з Tuoi Tre експерт Нгуєн Хонг Куанг, член команди VCS.

Тому конкуренція буде напруженою від початку і до останньої хвилини. Бо цілком можливо, що команди виявлять вразливості, але виробник раптово виправить їх прямо перед днем ​​змагань, що призведе до втрати команди всіх її зусиль та досягнень.

Тому, «ближче до часу виступу нам доводилося працювати позмінно вдень і вночі, щоб «спостерігати», чи виявлені нами вразливості все ще існують, чи ні, та уважно стежити за виробником, щоб побачити, чи виправив він виявлені нами помилки чи ні», – сказав Нго Ань Хюй, досвідчений гравець Pwn2Own команди VCS.

Конкурс Pwn2Own 2023 у Торонто зосереджений на апаратному забезпеченні, включаючи такі категорії, як мобільні телефони, розумні колонки, системи спостереження, мережеві системи зберігання даних та офісна електроніка. Кожна категорія має призи від 30 000 до 100 000 доларів США та бали від 2 до 10 балів залежно від складності пристрою та рівня виконання демонстрації атаки.

Найціннішою як з точки зору призів, так і балів є остання категорія — mash-up, у якій команди мають виконати експлойт-код на одному з мережевих маршрутизаторів конкурсу та таким чином атакувати пристрій у вищезгаданих категоріях, отримуючи приз у розмірі 100 000 доларів США та 10 балів.

Після завершення окремих категорій, успішно атакуючи телефони Xiaomi 13 Pro, систему зберігання даних QNAP TS 464, принтер Canon imageClass MF753Cdw, динамік Sonos Era 100, команда VCS набрала 20 балів, майже гарантовано вигравши чемпіонат, оскільки суперник Sea Security набрав лише 17,25 бала після завершення всіх окремих категорій та об’єднаної категорії.

Більше немає надто великого конкурентного тиску, але фінальна категорія все ще переслідує інженерів VCS, оскільки брак очок у змаганнях з машапів є причиною, чому ця команда пропустила чемпіонат минулого року. «Цього разу, вступаючи в категорію машапів, ми продовжуємо бути у невигідному становищі під час жеребкування наступного раунду, якщо у нас буде та сама лазівка, що й у попередньої команди, нам віднімуть очки», – поділився Нго Ань Хюй. Така помилка дублювання призвела до того, що VCS відставала на 2,5 очки від команди, яка посіла перше місце в минулорічному Pwn2Own.

«Цього року ми не лише намагалися використати нові вразливості, але й навмисно обрали вразливості, які було дуже важко знайти та які важко перетиналися з вразливостями інших команд, або які було легко знайти, але важко використати, а також мали багато резервних планів. Це результат трьох місяців цілеспрямованих досліджень усією командою», – сказав Х'юй.

В результаті, команда VCS набрала 10/10 балів у об'єднаній категорії та виграла загальний чемпіонат із загальним балом 30, що на 12,5 балів вище, ніж команда, яка посіла друге місце, здобувши видовищну та повну перемогу.

«Ми обрали Pwn2Own для перевірки своїх навичок, оскільки це змагання на найпопулярніших пристроях у світі від провідних виробників із суворим процесом тестування», – сказав пан Нгуєн Сон Хай, директор VCS. «Інвестування у спеціалізовану дослідницьку команду та випробування себе на міжнародній арені є частиною зусиль VCS щодо розвитку людських ресурсів».

Шлях команди VCS до чемпіонату Pwn2Own 2023 – це результат довгої, успадкованої подорожі, яскрава демонстрація бачення багаторічної давності лідерів Viettel Group у сфері інформаційної безпеки.

Більше десяти років тому, коли директор VCS Нгуєн Сон Хай був ще того ж віку, що й нинішні члени команди-чемпіона Pwn2Own 2023, керівники Viettel Group були рішуче налаштовані інвестувати в сферу інформаційної безпеки.

Перше насіння для молодого поля невдовзі було посаджено та доглянуто Вієттелем систематично та стратегічно.

Глибокі дослідження VCS розпочалися на ранніх етапах її існування, коли над інформаційною безпекою спочатку працювало лише шість осіб. З 2011 року команда VCS проводила імітацію атак на підрозділи Viettel Group, щоб виявити проблеми безпеки.

«Через управління критично важливою інфраструктурою, Viettel має дослідницьке бачення, яке розглядає мережеву безпеку як основу», – сказав пан Сон Хай. «У мережевій безпеці люди є найважливішим фактором. Навіть при використанні найкращих у світі продуктів, але лише як кінцевий користувач, ризик атаки все ще дуже високий, тоді як критична інфраструктура Viettel, така як мобільний зв’язок та Інтернет, є мішенню атак найбільших груп у світі».

Щоб мати команду експертів для захисту критичної інфраструктури, VCS прагне навчати персонал з кібербезпеки з потужностями, еквівалентними світовим. З 2015 року по теперішній час Viettel та VCS навчили 450 студентів, з яких 5% найбільш підходящого персоналу було залучено для продовження роботи, сказав пан Хай.

«Після створення команди експертів та інвестування в глибокі дослідження ми продовжуємо шукати шляхи інвестування для покращення атакувальних навичок команди експертів VCS. Участь у змаганнях світового класу також спрямована на цю мету», – сказав пан Нгуєн Сон Хай.

У 2013 році VCS почала досліджувати вразливості нульового дня, вразливості, які були невідомими та не виправленими, а отже, найдорожчими, в цьому напрямку Ань Хью та Хонг Куанг також були двома першими спеціалістами. До 2015 року команда VCS виявила перші вразливості, і на сьогоднішній день кількість вразливостей, знайдених VCS, досягла 400.

«Жоден в'єтнамський бізнес не досяг такої кількості, та й у світі їх небагато», – сказав пан Хай.

Можливість пройти навчання, беручи участь у поглиблених дослідженнях, є причиною, чому VCS стала привабливим робочим місцем для експертів з кібербезпеки, які нещодавно посіли перше місце на Pwn2Own. На запитання, чому він обрав Viettel, Ань Хуй відповів: «З мого досвіду, не так багато компаній готові довгостроково інвестувати в дослідження та дослідницькі команди в галузі кібербезпеки».

«Особливо у сфері кібербезпеки людський фактор є найважливішим. Тому VCS завжди приділяє увагу навчанню, вдосконаленню команди та формуванню наступного покоління висококваліфікованих співробітників, завжди готових до міжнародних проблем», – наголосив директор VCS Нгуєн Сон Хай.

На церемонії вшанування та привітання членів команди, яка брала участь у змаганнях, голова правління та генеральний директор Viettel Group Тао Дик Тханг висловив свою гордість за «білих хакерів» Viettel. Він підтвердив: «Viettel пишається тим, що команда VCS отримала престижну нагороду в галузі глобальної кібербезпеки, «змагаючись» з провідними світовими виробниками обладнання з великими науково-дослідними підрозділами».

Керівник Viettel Group оцінив, що «Pwn2Own – це престижні змагання з дуже високим рівнем складності для будь-якого хакера. Змагання порівнюються з «битвою» з виробниками, які володіють провідними світовими командами з інформаційної безпеки, готовими реагувати на хакерів до останньої хвилини. Гра без вікових обмежень, яка може навіть передбачати багатонаціональну співпрацю...». Тому пан Тао Дик Тханг сказав: «Чемпіонат Pwn2Own 2023 року зробив Viettel та В'єтнам відомими на міжнародній арені», – з гордістю сказав голова групи.

Голова Тао Дик Тханг також визнав, що сфера кібербезпеки є величезною, це довгий шлях для експертів Viettel, і попереду багато викликів.

«Утримувати позицію лідера нелегко, тому нам потрібно продовжувати наполегливіше працювати та мати великі мрії, постійно прагнучи втілити мрію в життя, щоб представити В'єтнам світові», – наголосив пан Тао Дик Тханг.

Голова Viettel Group також повідомив, що найближчим часом Група матиме спеціальну політику щодо навчання висококваліфікованих людських ресурсів, щоб вони могли й надалі впевнено присвячувати себе своїй роботі.

Доручаючи це завдання VCS, пан Тао Дик Тханг наголосив, що VCS необхідно продовжувати підготовку фахівців з безпеки, маючи на меті підготувати наступне покоління з найкращою основою для служіння не лише корпорації, а й країні, захищаючи націю в кіберпросторі.