Viettel „Hacker“ macht seinen Namen auf der Weltkarte bekannt

Am 27. Oktober um 1:00 Uhr morgens brach im noch erleuchteten Raum der Viettel Cyber ​​Security Company (VCS) bei 14 Mitgliedern des VCS-Teams die Freude aus: Das Team hat die Meisterschaft des weltweit größten und prestigeträchtigsten Cyberangriffswettbewerbs Pwn2Own 2023 gewonnen.

Es war nicht nur das erwartete Ergebnis dreier Monate ununterbrochener Arbeit des gesamten Teams Tag und Nacht und eines harten Wettbewerbs gegen die stärksten Gegner aus aller Welt !

Das ist nicht nur die erste süße Frucht für das jüngste Mitglied des Teams, Do Anh Dung, Jahrgang 2003, derzeit Student im dritten Jahr an der University of Technology (VNU)!

Für Mitglieder wie Ngo Anh Huy, Nguyen Xuan Hoang und Nguyen Hong Quang, die sich seit mehreren Jahren an diesem Turnier versuchen, ist es nicht nur der Wunsch, die höchste Position im Wettbewerb zu erreichen!

Es ist außerdem eine Ehre, dem Land bei einem der prestigeträchtigsten Wettbewerbe der Welt die höchste Platzierung zu verschaffen und damit die Leistungsfähigkeit der Vietnamesen im Bereich Informationssicherheit und -schutz zu bestätigen.

Und vor allem ist es die „süße Frucht“, die aus den Samen geerntet wurde, die Viettel vor vielen Jahren beharrlich gepflanzt hat. Bis heute kann Viettel mit VCS und einem Team von Informationssicherheitsexperten stolz darauf sein, eines der weltweit führenden Unternehmen im Bereich Informationssicherheit und -schutz zu sein.

Die 14 Mitglieder des VCS-Teams, das die Pwn2Own 2023-Meisterschaft gewonnen hat, sind alle sehr jung. Die meisten Mitglieder stammen aus der 9x-Generation, das jüngste Mitglied wurde erst 2003 geboren.

Die meisten Teammitglieder sind jedoch schon seit vielen Jahren im Einsatz und verfügen über umfangreiche Erfahrungen und Erfolge im Bereich Informationssicherheit. Sogar das jüngste Teammitglied, Do Anh Dung, hat sich bereits durchgesetzt: Dung ist derjenige, der in diesem Wettbewerb ein Wunder vollbracht hat, indem er eine Kategorie gewonnen hat, die zum Gesamtergebnis des gesamten Teams beiträgt.

Am Ende der Finalrunde am Abend des 27. Oktober errang das Team von Viettel Cyber ​​​​Security (VCS) mit 30 Master of Pwn-Punkten offiziell den höchsten Sieg und ließ den Abstand zum zweitplatzierten Team bei 12,75 Punkten.

Mit diesem überzeugenden Ergebnis sicherte sich VCS den Meistertitel gegen zahlreiche internationale Gegner, die als starke Kandidaten für den Turniersieg gelten, wie beispielsweise Sea Security (Singapur), Vupen, Synacktiv (Frankreich) und Devcore (Taiwan – letztjähriges Meisterteam) …

VCS-Teammitglied Ha Anh Hoang berichtete über die Herausforderungen bei der Vorbereitung des Wettbewerbs: „Drei Monate vor dem Wettbewerb gab das Organisationskomitee die zu erobernde Ausrüstung bekannt. Die Vorbereitungszeit betrug daher nur drei Monate, da das Team zu diesem Zeitpunkt gerade die Forschungsausrüstung gekauft hatte. Viele Geräte mussten aus dem Ausland importiert werden, und es dauerte einen ganzen Monat, bis sie in Vietnam eintrafen.“

Nguyen Xuan Hoang, ein weiteres Teammitglied, meint dazu: „Die Teilnehmer des Wettbewerbs nehmen schon seit langer Zeit teil. Sie verfügen über viel Erfahrung und sind sowohl wirtschaftlich als auch beruflich sehr stark. Das VCS-Team hat entschieden, dass wir mit der sorgfältigsten Vorbereitung, Solidarität und einer geeigneten Wettbewerbsstrategie antreten müssen, um im diesjährigen Wettbewerb den größtmöglichen Erfolg zu erzielen.“

Hoang fügte hinzu, dass das VCS-Team im letzten Jahr den zweiten Platz in diesem Wettbewerb belegte und mit einem Ergebnis, das dem des Meisterteams sehr nahe kam, nur 2,5 Punkte hinter ihm lag. Daher ist das Team entschlossen, in diesem Jahr den Meistertitel anzustreben.

Doch der Weg zur Meisterschaft ist nicht einfach: Die Angriffsziele in diesem Wettbewerb sind alle gängigen Geräte und Softwareprogramme der Welt, von führenden Herstellern wie Microsoft, Apple, Google, Samsung... – teilte Nguyen Xuan Hoang mit.

Um die Anforderungen des Wettbewerbs zu erfüllen, musste das Gerät aus den USA bestellt werden. Doch in einem Moment der Unachtsamkeit „starb“ das Gerät, weil es eine für den US-Markt geeignete 110-V-Stromquelle verwendete, während in Vietnam 220 V verwendet werden.

Laut Ngo Anh Huy, einem Mitglied, das bereits viermal an diesem Wettbewerb teilgenommen hat, besteht die größte Angst des Teams darin, dass es zu doppelten Fehlern kommt oder dass der Hersteller nicht genug Zeit hat, die vom Team registrierten Sicherheitslücken zu schließen. Im vergangenen Jahr erreichte Viettels Team nur den zweiten Platz, da ihm für eine doppelte Sicherheitslücke Punkte abgezogen wurden.

Darüber hinaus kam die Herausforderung in letzter Minute, da das gesamte Team aufgrund einer Verzögerung bei der Visaerteilung nicht rechtzeitig nach Toronto (Kanada) reisen konnte, um live am Wettbewerb teilzunehmen. Stattdessen mussten die 14 Mitglieder des VCS-Teams online antreten und sich große Sorgen über mögliche Probleme machen, die während des Wettbewerbs nicht gelöst werden konnten …

Aber das Endergebnis sagte alles … Das VCS-Team hat nicht nur gewonnen, sondern auch einen spektakulären Sieg errungen.

„Als wir die zehn Finalisten der Kategorie mit den höchsten Punkten gewannen, brach das ganze Team in Freude und Glück aus, weil wir bewiesen hatten, dass diese Meisterschaft ohne Zweifel ein überzeugender Sieg war“, erinnerte sich Nguyen Xuan Hoang stolz an diesen Moment.

Nachdem das VCS-Team in den letzten vier Jahren kontinuierlich an Pwn2Own teilgenommen hatte, gewann es zum ersten Mal die Pwn2Own-Meisterschaft. Dabei handelt es sich um einen Angriffswettbewerb für Software und Unterhaltungselektronik, der zweimal jährlich von der Cybersicherheitsorganisation Zero Day Initiative veranstaltet wird und zu den „schwierigsten“ Cybersicherheitswettbewerben der heutigen Welt zählt.

Herr Nguyen Son Hai, Direktor von VCS, sagte, dass Viettel 2020 in der Kategorie SmartTV seinen ersten Sieg auf diesem „Spielplatz“ errang. 2021 schaffte es Viettel in die Top 5. 2022 belegte es den zweiten Platz. Und in diesem Jahr gewann das Unternehmen mit einem überwältigenden Ergebnis die Meisterschaft.

An Pwn2Own nehmen nicht nur namhafte Cybersicherheitsteams aus aller Welt teil, sondern auch große Hersteller und Technologiekonzerne aus aller Welt. Jede Prüfung enthält Fragen zu gängigen Software- und Hardwaregeräten wie Windows-Betriebssystemen, Apple-, Xiaomi- und Samsung-Telefonen oder Canon- und HP-Druckern.

Die Teams konkurrieren darum, unbekannte Sicherheitslücken in Software und Geräten zu finden und müssen innerhalb von 30 Minuten die Live-Ausnutzung dieser Schwachstellen demonstrieren.

„Warum können wir sagen, dass die Gegner nicht nur andere Sicherheitsexpertengruppen sind, sondern auch Gerätehersteller wie Apple, Xiaomi, Canon, TP Link …, weil sie es hassen, wenn bekannt wird, dass ihre Geräte Schwachstellen haben, und dadurch das Vertrauen der Kunden verlieren. Diese Gerätelieferanten haben immer ein Sicherheitsteam und sind bereit, große Summen zu zahlen, um die Fehler in ihren Produkten zu beheben, bevor der Wettbewerb stattfindet, damit die Produkte nicht vor der Öffentlichkeit in Ungnade fallen“, teilte Experte Nguyen Hong Quang, ein Mitglied des VCS-Teams, Tuoi Tre mit.

Daher wird der Wettbewerb von der Eröffnung bis zur letzten Minute intensiv sein. Denn es ist durchaus möglich, dass die von den Teams entdeckten Schwachstellen kurz vor dem Wettkampftag unerwartet vom Hersteller gepatcht werden, wodurch ein Team all seine Bemühungen und Erfolge zunichte macht.

Daher mussten wir „kurz vor der Aufführung Tag und Nacht arbeiten, um zu „beobachten“, ob die von uns entdeckten Schwachstellen noch vorhanden waren, und den Hersteller genau beobachten, um zu sehen, ob er die von uns entdeckten Fehler behoben hat“, sagte Ngo Anh Huy, ein erfahrener Pwn2Own-Spieler des VCS-Teams.

Der Pwn2Own 2023 Toronto-Wettbewerb konzentriert sich auf Hardware, darunter Mobiltelefone, Smart Speaker, Überwachungssysteme, vernetzte Speichersysteme und Büroelektronik. In jeder Kategorie gibt es Preise zwischen 30.000 und 100.000 US-Dollar und eine Punktzahl zwischen 2 und 10 Punkten, abhängig vom Schwierigkeitsgrad des Geräts und dem Grad der Vollständigkeit der Angriffsdemonstration.

Die wertvollste Kategorie, sowohl was Preise als auch Punkte angeht, ist die letzte Kategorie, Mash-up. Hier müssen die Teams Exploit-Code auf einem der vorgegebenen Netzwerkrouter des Wettbewerbs ausführen und so ein Gerät in den oben genannten Kategorien angreifen. Dafür winken 100.000 US-Dollar und 10 Punkte.

Nach Abschluss der einzelnen Kategorien, bei denen das Xiaomi 13 Pro-Telefon, das QNAP TS 464-Speichersystem, der Canon imageClass MF753Cdw-Drucker und der Sonos Era 100-Lautsprecher erfolgreich angegriffen wurden, erzielte das VCS-Team 20 Punkte und war sich damit fast sicher, die Meisterschaft zu gewinnen, da der Gegner Sea Security nach Abschluss aller Einzelkategorien und der kombinierten Kategorie nur 17,25 Punkte erzielte.

Der Wettbewerbsdruck ist zwar nicht mehr so ​​groß, aber die letzte Kategorie beschäftigt die VCS-Ingenieure noch immer, denn die fehlenden Punkte im Mash-up-Wettbewerb waren der Grund, warum das Team im letzten Jahr die Meisterschaft verpasste. „Da wir dieses Mal in der Smash-up-Kategorie antreten, sind wir bei der Auslosung für die nächste Runde weiterhin im Nachteil. Wenn wir die gleiche Lücke wie das vorherige Team haben, werden uns Punkte abgezogen“, erklärte Ngo Anh Huy. Ein solcher doppelter Fehler führte dazu, dass VCS im letzten Jahr bei Pwn2Own 2,5 Punkte hinter dem erstplatzierten Team lag.

„In diesem Jahr haben wir nicht nur versucht, neue Schwachstellen auszunutzen, sondern auch bewusst Schwachstellen ausgewählt, die sehr schwer zu finden und schwer mit anderen Teams zu überlappen waren, oder die leicht zu finden, aber schwer auszunutzen waren, und wir hatten viele Backup-Pläne. Dies ist das Ergebnis dreimonatiger konzentrierter Forschung des gesamten Teams“, sagte Huy.

Infolgedessen erreichte das VCS-Team 10/10 Punkte in der kombinierten Kategorie und gewann die Gesamtmeisterschaft mit einer Gesamtpunktzahl von 30, wobei es den Zweitplatzierten um 12,5 Punkte übertraf und einen spektakulären und vollständigen Sieg errang.

„Wir haben uns für Pwn2Own entschieden, weil es sich um einen Wettbewerb für die beliebtesten Geräte der Welt handelt, der von führenden Herstellern stammt und strengen Testverfahren unterliegt“, sagte Nguyen Son Hai, Direktor von VCS. „Die Investition in ein spezialisiertes Forschungsteam und der Wettbewerb auf internationaler Ebene sind Teil der Bemühungen von VCS, seine personellen Ressourcen zu entwickeln.“

Der Weg des VCS-Teams zur Pwn2Own-Meisterschaft 2023 ist das Ergebnis einer langen Reise, ein Vermächtnis, eine lebendige Demonstration der Vision der führenden Köpfe der Viettel Group im Bereich Informationssicherheit vor vielen Jahren.

Vor über einem Jahrzehnt, als VCS-Direktor Nguyen Son Hai noch im gleichen Alter war wie die Mitglieder des Pwn2Own 2023-Meisterschaftsteams, waren die Führungskräfte der Viettel Group entschlossen, in den Bereich Informationssicherheit zu investieren.

Die ersten Samen für ein junges Feld wurden bald gepflanzt und von Viettel systematisch und strategisch gepflegt.

Die intensive Forschungsarbeit von VCS begann bereits in den Anfangsjahren, als zunächst nur sechs Personen an der Informationssicherheit arbeiteten. Seit 2011 führt das VCS-Team simulierte Angriffe mit Einheiten der Viettel Group durch, um Sicherheitslücken aufzuzeigen.

„Viettel betreibt kritische Infrastrukturen und hat daher eine Forschungsvision, die die Netzwerksicherheit als einen Eckpfeiler betrachtet“, so Son Hai. „Bei der Netzwerksicherheit sind die Menschen der wichtigste Faktor. Selbst wenn man die weltweit besten Produkte nutzt, aber nur als Endbenutzer, ist das Angriffsrisiko immer noch sehr hoch. Gleichzeitig sind Viettels kritische Infrastrukturen wie Mobilfunk und Internet das Ziel von Angriffen der größten Konzerne der Welt.“

Um ein Expertenteam zum Schutz kritischer Infrastrukturen aufzubauen, will VCS Cybersicherheitspersonal mit einer Kapazität ausbilden, die der weltweiten entspricht. Von 2015 bis heute haben Viettel und VCS 450 Studenten ausgebildet, von denen 5 % der am besten geeigneten Mitarbeiter eingestellt wurden, um weiter zu arbeiten, sagte Herr Hai.

„Nachdem wir ein Expertenteam aufgebaut und in gründliche Forschung investiert haben, suchen wir weiterhin nach Möglichkeiten, in die Verbesserung der Angriffsfähigkeiten des VCS-Expertenteams zu investieren. Diesem Zweck dient auch die Teilnahme an Weltklasse-Wettbewerben“, sagte Herr Nguyen Son Hai.

VCS begann 2013 mit der Erforschung von Zero-Day-Schwachstellen. Diese waren unbekannt, ungepatcht und daher besonders kostspielig. Anh Huy und Hong Quang waren zwei der ersten Experten. Bereits 2015 entdeckte das VCS-Team die ersten Schwachstellen. Bis heute hat VCS 400 gefunden.

„Kein vietnamesisches Unternehmen hat eine solche Zahl erreicht, und nicht viele auf der Welt“, erklärte Herr Hai.

Die Möglichkeit, sich durch die Teilnahme an intensiver Forschung weiterzubilden, ist der Grund, warum VCS für Cybersicherheitsexperten, die gerade den ersten Platz bei Pwn2Own belegt haben, zu einem attraktiven Arbeitgeber geworden ist. Auf die Frage, warum er sich für Viettel entschieden hat, antwortete Anh Huy: „Meiner Erfahrung nach sind nicht viele Unternehmen bereit, langfristig in Cybersicherheitsforschung und Forschungsteams zu investieren.“

„Gerade im Bereich der Cybersicherheit ist der menschliche Faktor von größter Bedeutung. Daher ist VCS stets darauf bedacht, das Team zu schulen, zu verbessern und die nächste Generation hochqualifizierter Mitarbeiter aufzubauen, die stets für internationale Probleme bereit sind“, betonte VCS-Direktor Nguyen Son Hai.

Bei der Zeremonie zur Ehrung und Gratulation der am Wettbewerb teilnehmenden Teammitglieder brachte Tao Duc Thang, Vorsitzender und Generaldirektor der Viettel Group, seinen Stolz auf die „White Hat Hacker“ von Viettel zum Ausdruck. Er bekräftigte: „Viettel ist stolz darauf, dass das VCS-Team den prestigeträchtigen Preis im Bereich der globalen Netzwerksicherheit gewonnen hat und dabei mit den weltweit führenden Geräteherstellern mit großen F&E-Abteilungen konkurriert hat.“

Der Leiter der Viettel Group bewertete: „Pwn2Own ist ein prestigeträchtiger Wettbewerb mit einem sehr hohen Schwierigkeitsgrad für jeden Hacker. Der Wettbewerb ist vergleichbar mit einem ‚Kampf‘ mit Herstellern, die über die weltweit besten Informationssicherheitsteams verfügen, die bis zur letzten Minute bereit sind, auf Hacker zu reagieren. Ein Spiel ohne Altersbeschränkung, das sogar multinationale Zusammenarbeit beinhalten kann …“ Daher sagte Herr Tao Duc Thang: „Die Pwn2Own-Meisterschaft 2023 hat Viettel und Vietnam auf der internationalen Bühne berühmt gemacht“, sagte der Vorsitzende der Gruppe stolz.

Vorsitzender Tao Duc Thang räumte auch ein, dass das Feld der Cybersicherheit riesig sei, für die Experten von Viettel ein langer Weg vor sich gehe und viele Herausforderungen bevorstünden.

„Es ist nicht einfach, die Top-1-Position zu halten. Deshalb müssen wir weiterhin härter arbeiten und große Träume haben. Wir müssen ständig danach streben, Träume in die Realität umzusetzen, um Vietnam der Welt näherzubringen“, betonte Herr Tao Duc Thang.

Der Vorsitzende der Viettel Group teilte außerdem mit, dass die Gruppe in der kommenden Zeit spezifische Strategien zur Ausbildung hochqualifizierter Mitarbeiter verfolgen werde, damit diese sich weiterhin voller Selbstvertrauen ihrer Arbeit widmen könnten.

Als er VCS die Aufgabe übertrug, betonte Herr Tao Duc Thang, dass VCS weiterhin mehr Sicherheitsexperten ausbilden müsse und entschlossen sei, die nächste Generation mit der besten Grundlage auszubilden, damit sie nicht nur dem Unternehmen, sondern auch dem Land dienen und die Nation im Cyberspace schützen könne.