Am 27. Oktober um 1:00 Uhr morgens explodierte im noch erleuchteten Raum der Viettel Cyber ​​​​Security Company (VCS) die Freude der 14 Mitglieder des VCS-Teams: Das Team hat die Meisterschaft des weltweit größten und prestigeträchtigsten Cyberangriffswettbewerbs Pwn2Own 2023 gewonnen.

Es war nicht nur das erwartete Ergebnis dreimonatiger ununterbrochener Arbeit des gesamten Teams Tag und Nacht und eines harten Wettbewerbs gegen die stärksten Gegner aus aller Welt!

Das ist nicht nur die erste süße Frucht für das jüngste Mitglied des Teams, Do Anh Dung, Jahrgang 2003, derzeit Student im dritten Jahr an der University of Technology (VNU)!

Es ist nicht nur der Wunsch, die höchste Position im Wettbewerb zu erreichen, den Mitglieder wie Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang... anstreben, die sich seit mehreren Jahren an diesem Turnier versuchen!

Darüber hinaus ist es eine Ehre, dem Land bei einem der prestigeträchtigsten Wettbewerbe der Welt die höchste Platzierung zu verschaffen und damit die Leistungsfähigkeit der Vietnamesen im Bereich der Informationssicherheit und -sicherheit zu bestätigen.

Und vor allem sind es die „süßen Früchte“, die aus den Samen geerntet werden, die Viettel vor vielen Jahren beharrlich gepflanzt hat. Bis heute kann Viettel mit VCS und einem Team aus Informationssicherheitsexperten stolz darauf sein, eines der weltweit führenden Unternehmen im Bereich Informationssicherheit und Schutzkapazität zu sein.

Die 14 Mitglieder des VCS-Teams, das die Pwn2Own-Meisterschaft 2023 gewonnen hat, sind alle sehr jung. Die meisten Mitglieder stammen aus der 9x-Generation, das jüngste Mitglied ist erst 2003 geboren.

Aber die meisten im Team haben langjährige „Kämpfe“, verfügen über umfangreiche Erfahrungen und Erfolge im Bereich Sicherheit und Informationsschutz. Auch der jüngste Teilnehmer des Teams, Do Anh Dung, konnte sich durchsetzen: Dung war derjenige, der in diesem Wettbewerb ein Wunder vollbrachte und mit dem Gewinn einer Kategorie zum Gesamtergebnis des gesamten Teams beitrug.

Am Ende der Finalrunde am Abend des 27. Oktober errang das Team von Viettel Cyber ​​​​Security (VCS) mit 30 Master of Pwn-Punkten offiziell den höchsten Sieg, sodass der Abstand zum zweitplatzierten Team 12,75 Punkte beträgt.

Mit diesem überzeugenden Ergebnis sicherte sich VCS den Meistertitel gegen zahlreiche internationale Gegner, die als starke Kandidaten für den Turniersieg gelten, wie beispielsweise Sea Security (Singapur), Vupen, Synacktiv (Frankreich) und Devcore (Taiwan – letztjähriges Meisterteam)...

VCS-Teammitglied Ha Anh Hoang sprach über die Herausforderungen während der Vorbereitung auf den Wettbewerb und sagte: „Drei Monate vor dem Wettbewerb gab das Organisationskomitee die zu erobernden Geräte bekannt.“ Daher betrug die Vorbereitungszeit nur drei Monate, da das Team dann Ausrüstung für die Forschung kaufen konnte. Viele dieser Geräte müssen aus dem Ausland importiert werden und brauchen Monate, um in Vietnam anzukommen.

Nguyen Xuan Hoang, ein weiteres Teammitglied, meint dazu: „Die Teilnehmer des Wettbewerbs sind schon seit langer Zeit dabei. Sie verfügen über umfangreiche Erfahrung und sind sowohl in wirtschaftlicher als auch in beruflicher Hinsicht sehr stark. Das VCS-Team ist zu dem Schluss gekommen, dass wir mit größter Sorgfalt, Solidarität und einer geeigneten Wettbewerbsstrategie in den Wettbewerb gehen müssen, um in diesem Jahr den größtmöglichen Erfolg zu erzielen.“

Hoang fügte hinzu, dass das VCS-Team im letzten Jahr bei diesem Wettbewerb den zweiten Platz belegte und dabei mit einem Ergebnis sehr nahe an das des Meisterteams herankam, da es nur um 2,5 Punkte zurücklag. Deshalb ist das Team dieses Jahr fest entschlossen, die Meisterschaft anzustreben.

Doch der Weg zur Meisterschaft ist nicht einfach: Die Angriffsziele in diesem Wettbewerb sind alle gängigen Geräte und Softwareprogramme der Welt, von führenden Herstellern wie Microsoft, Apple, Google, Samsung... – teilte Nguyen Xuan Hoang mit.

Um die Anforderungen des Wettbewerbs zu erfüllen, musste das Gerät in den USA bestellt werden. Doch in einem Moment der Unachtsamkeit ging das Gerät kaputt, weil es eine für den US-Markt geeignete 110-V-Stromquelle verwendete, während in Vietnam 220 V verwendet werden.

Laut Ngo Anh Huy, einem Mitglied, das bereits viermal an diesem Wettbewerb teilgenommen hat, besteht die größte Angst des Teams darin, dass es zu doppelten Fehlern kommen könnte oder dass der Hersteller nicht genug Zeit hat, um die vom Team registrierten Sicherheitslücken zu schließen. Im letzten Jahr nahm das Team Viettel am Wettbewerb teil und erreichte aufgrund eines Punktabzugs wegen einer doppelten Lücke nur den zweiten Platz.

Darüber hinaus kam die Herausforderung in letzter Minute, da sich der Visa-Prozess verzögerte und das gesamte Team es nicht rechtzeitig nach Toronto (Kanada) schaffte, um live anzutreten. Stattdessen mussten die 14 Mitglieder des VCS-Teams online antreten und waren voller Angst vor möglichen Problemen, die während des Wettbewerbs nicht behoben werden konnten …

Aber das Endergebnis sagte alles … Das VCS-Team hat nicht nur gewonnen, sondern auch einen spektakulären Sieg errungen.

„Als wir die zehn Finalisten der Kategorie mit der höchsten Punktezahl gewannen, brach im gesamten Team Freude und Glück aus, weil wir bewiesen hatten, dass diese Meisterschaft ohne Zweifel ein überzeugender Sieg war“, erinnerte sich Nguyen Xuan Hoang stolz an diesen Moment.

Nachdem das VCS-Team in den letzten vier Jahren kontinuierlich an Pwn2Own teilgenommen hat, hat es zum ersten Mal die Pwn2Own-Meisterschaftstrophäe gewonnen. Dabei handelt es sich um einen zweimal jährlich von der Cybersicherheitsorganisation Zero Day Initiative veranstalteten Wettbewerb zum Thema Angriffe auf Software und Unterhaltungselektronik. Es handelt sich um einen der „schwierigsten“ Cybersicherheitswettbewerbe der heutigen Welt.

Herr Nguyen Son Hai, Direktor von VCS, sagte, dass Viettel im Jahr 2020 mit der Kategorie SmartTV seinen ersten Sieg auf diesem „Spielplatz“ errungen habe. Im Jahr 2021 schaffte es Viettel in die Top 5. Im Jahr 2022 belegte es den zweiten Platz. Und dieses Jahr geht es darum, mit einer überwältigenden Punktzahl die Meisterschaft zu gewinnen.

An Pwn2Own nehmen nicht nur namhafte Cybersicherheitsgruppen aus aller Welt teil, sondern auch große Hersteller und Technologiekonzerne aus aller Welt. In jeder Prüfung werden Fragen zu gängigen Software- oder Hardwaregeräten gestellt, beispielsweise zum Windows-Betriebssystem, zu Telefonen von Apple, Xiaomi und Samsung oder zu Druckern von Canon und HP usw.

Die Teams konkurrieren darum, unbekannte Sicherheitslücken in Software und Geräten zu finden und müssen innerhalb von 30 Minuten die Live-Ausnutzung dieser Lücken demonstrieren.

„Warum können wir sagen, dass die Gegner nicht nur andere Sicherheitsexpertengruppen sind, sondern auch Gerätehersteller wie Apple, Xiaomi, Canon, TP Link …? Weil sie es hassen, wenn bekannt wird, dass ihre Geräte Schwachstellen haben, und dadurch das Vertrauen der Kunden verlieren. Diese Gerätehersteller haben immer ein Sicherheitsteam und sind bereit, große Summen zu zahlen, um die Fehler in ihren Produkten zu beheben, bevor der Wettbewerb stattfindet, damit die Produkte nicht vor der Öffentlichkeit bloßgestellt werden“, erklärte Experte Nguyen Hong Quang, ein Mitglied des VCS-Teams, gegenüber Tuoi Tre .

Daher wird der Wettbewerb von der ersten bis zur letzten Minute spannend sein. Denn es ist durchaus möglich, dass konkurrierende Teams zwar Schwachstellen entdecken, diese aber kurz vor dem Wettkampftag plötzlich vom Hersteller behoben werden, wodurch das Team seine gesamten Anstrengungen und Erfolge zunichte macht.

Daher mussten wir „kurz vor der Aufführung Tag und Nacht arbeiten, um zu „wachen“, ob die von uns entdeckten Schwachstellen noch immer existierten, und den Hersteller genau beobachten, um zu sehen, ob er die von uns entdeckten Fehler behoben hatte“, sagte Ngo Anh Huy, ein erfahrener Pwn2Own-Spieler des VCS-Teams.

Der Pwn2Own 2023 Toronto-Wettbewerb konzentriert sich auf Hardware, einschließlich Kategorien wie Mobiltelefone, intelligente Lautsprecher, Überwachungssysteme, vernetzte Speichersysteme und Büroelektronik. Jede Kategorie hat einen Preis von 30.000 bis 100.000 USD und eine Punktzahl von 2 bis 10 Punkten, abhängig von der Schwierigkeit des Geräteangriffs und dem Grad der Vollständigkeit der Angriffsdemonstration.

Die wertvollste Kategorie hinsichtlich Preis und Punkten ist die letzte Kategorie, Mash-up. Hier müssen die Teams Exploit-Code auf einem der Netzwerkrouter des Wettbewerbs ausführen und so ein Gerät in den zuvor genannten Kategorien angreifen. Der Preis ist mit 100.000 US-Dollar und 10 Punkten dotiert.

Nach dem Absolvieren der einzelnen Kategorien und dem erfolgreichen Angriff auf das Xiaomi 13 Pro-Telefon, das QNAP TS 464-Speichersystem, den Canon imageClass MF753Cdw-Drucker und den Sonos Era 100-Lautsprecher erzielte das VCS-Team 20 Punkte und war sich damit fast sicher, die Meisterschaft zu gewinnen, da der Gegner Sea Security nach Absolvieren aller Einzelkategorien und der kombinierten Kategorie nur 17,25 Punkte erzielte.

Der Wettbewerbsdruck ist zwar nicht mehr so ​​groß, doch die letzte Kategorie macht den VCS-Ingenieuren zu schaffen, denn die fehlenden Punkte in der Mash-Up-Runde sind der Grund, warum diese Gruppe im letzten Jahr die Meisterschaft verpasst hat. „Da wir dieses Mal in die Kategorie der Smash-Ups einsteigen, sind wir bei der Auslosung für die nächste Runde weiterhin im Nachteil. Wenn wir das gleiche Loch wie das vorherige Team haben, werden uns Punkte abgezogen“, erklärte Ngo Anh Huy. Aufgrund eines solchen Duplikatfehlers fehlten VCS beim letztjährigen Pwn2Own 2,5 Punkte zum erstplatzierten Team.

„In diesem Jahr haben wir nicht nur versucht, neue Schwachstellen auszunutzen, sondern auch bewusst Schwachstellen ausgewählt, die sehr schwer zu finden und schwer mit anderen Teams zu überlappen waren, oder die leicht zu finden, aber schwer auszunutzen waren, und wir hatten viele Backup-Pläne. Dies ist das Ergebnis dreimonatiger konzentrierter Forschung des gesamten Teams“, sagte Huy.

Infolgedessen erreichte das VCS-Team 10/10 Punkte in der kombinierten Kategorie und gewann die Gesamtmeisterschaft mit einer Gesamtpunktzahl von 30, wobei es den Zweitplatzierten um 12,5 Punkte übertraf und einen spektakulären und vollständigen Sieg errang.

„Wir haben uns für Pwn2Own als Teilnehmer entschieden, weil es sich um einen Wettbewerb für die beliebtesten Geräte der Welt von führenden Herstellern mit einem strengen Testverfahren handelt“, sagte Nguyen Son Hai, Direktor von VCS. „Die Investition in ein spezialisiertes Forschungsteam und der Wettbewerb auf internationaler Ebene sind Teil der Bemühungen von VCS, seine Humanressourcen zu entwickeln.“

Der Weg des VCS-Teams zur Pwn2Own-Meisterschaft 2023 ist das Ergebnis einer langen Reise, ein Vermächtnis, eine lebendige Demonstration der Vision der führenden Köpfe der Viettel Group im Bereich Informationssicherheit vor vielen Jahren.

Vor über einem Jahrzehnt, als VCS-Direktor Nguyen Son Hai noch im gleichen Alter war wie die Mitglieder des Pwn2Own 2023-Meisterschaftsteams, waren die Führungskräfte der Viettel Group entschlossen, in den Bereich Informationssicherheit zu investieren.

Die ersten Samen für ein junges Feld wurden bald gepflanzt und von Viettel systematisch und strategisch gepflegt.

Die intensive Forschungsreise von VCS begann bereits in den Anfangsjahren, als zunächst nur sechs Personen an der Informationssicherheit arbeiteten. Seit 2011 führt das VCS-Team Scheinangriffe mit Einheiten innerhalb der Viettel-Gruppe durch, um Sicherheitsprobleme zu demonstrieren.

„Da Viettel kritische Infrastruktur betreibt, hat das Unternehmen eine Forschungsvision, die die Netzwerksicherheit als eine Säule betrachtet“, sagte Herr Son Hai. „Bei der Cybersicherheit sind die Menschen der wichtigste Faktor. Selbst wenn man die besten Produkte der Welt nutzt, aber nur als Endbenutzer, ist das Risiko eines Angriffs immer noch sehr hoch. Gleichzeitig sind Viettels kritische Infrastrukturen wie Mobilfunk und Internet das Ziel von Angriffen der größten Konzerne der Welt.“

Um über ein Expertenteam zum Schutz kritischer Infrastrukturen zu verfügen, zielt VCS darauf ab, Personal für Cybersicherheit mit einer Kapazität auszubilden, die der weltweiten entspricht. Seit 2015 haben Viettel und VCS 450 Studenten ausgebildet, von denen 5 % der am besten geeigneten Fachkräfte eingestellt wurden, um weiter zu arbeiten, sagte Herr Hai.

„Nachdem wir ein Expertenteam aufgebaut und in umfassende Forschung investiert haben, suchen wir weiterhin nach Möglichkeiten, die Angriffsfähigkeiten des VCS-Expertenteams zu verbessern. Auch die Teilnahme an Weltklasse-Wettbewerben dient diesem Zweck“, sagte Herr Nguyen Son Hai.

Im Jahr 2013 begann VCS mit der Erforschung von Zero-Day-Schwachstellen, die unbekannt und ungepatcht und daher am teuersten sind, und Anh Huy und Hong Quang waren zwei der ersten Experten. Bereits 2015 entdeckte das VCS-Team die ersten Schwachstellen und bis heute hat VCS 400 Schwachstellen gefunden.

„Kein vietnamesisches Unternehmen hat eine solche Zahl erreicht, und nicht viele auf der Welt“, erklärte Herr Hai.

Die Möglichkeit, durch gründliche Recherche zu lernen, macht VCS zu einem so attraktiven Arbeitsplatz für Cybersicherheitsexperten, die kürzlich bei Pwn2Own den ersten Platz gewonnen haben. Auf die Frage, warum er sich für Viettel entschieden habe, sagte Anh Huy: „Meiner Erfahrung nach sind nicht viele Unternehmen bereit, langfristig in die Cybersicherheitsforschung und -forschungsgruppen zu investieren.“

„Gerade im Bereich der Cybersicherheit ist der menschliche Faktor von größter Bedeutung. Daher ist VCS stets darauf bedacht, das Team zu schulen, zu verbessern und die nächste Generation hochqualifizierter Mitarbeiter aufzubauen, die stets für internationale Herausforderungen bereit sind“, betonte VCS-Direktor Nguyen Son Hai.

Bei der Zeremonie zu Ehren und Glückwünschen für die am Wettbewerb teilnehmenden Teammitglieder brachte Tao Duc Thang, Vorsitzender und Generaldirektor der Viettel Group, seinen Stolz auf die „White Hat Hacker“ von Viettel zum Ausdruck. Er bekräftigte: „Viettel ist stolz darauf, dass die VCS-Gruppe eine prestigeträchtige Auszeichnung im Bereich der globalen Cybersicherheit gewonnen hat und dabei mit den weltweit führenden Geräteherstellern mit großen F&E-Einheiten ‚konkurriert‘ hat.“

Der Chef der Viettel Group bewertete: „Pwn2Own ist ein prestigeträchtiger Wettbewerb mit einem sehr hohen Schwierigkeitsgrad für jeden Hacker. Der Wettbewerb gleicht einem ‚Kampf‘ mit Herstellern, die über die weltweit besten IT-Sicherheitsteams verfügen, die bis zur letzten Minute bereit sind, auf Hackerangriffe zu reagieren. Ein Spiel ohne Altersbeschränkung, das sogar multinational sein kann...“. Daher sagte Herr Tao Duc Thang stolz: „Die Pwn2Own-Meisterschaft 2023 hat Viettel und Vietnam auf internationaler Ebene berühmt gemacht“, sagte der Vorsitzende der Gruppe.

Der Vorsitzende Tao Duc Thang räumte auch ein, dass das Feld der Cybersicherheit riesig sei, ein langer Weg für die Experten von Viettel bevorstehe und viele Herausforderungen bevorstünden.

„Es ist nicht einfach, die Top-1-Position zu halten. Deshalb müssen wir weiterhin härter arbeiten und große Träume haben. Wir müssen ständig danach streben, Träume in die Realität umzusetzen, um Vietnam der Welt näherzubringen“, betonte Herr Tao Duc Thang.

Der Vorsitzende der Viettel Group teilte außerdem mit, dass die Gruppe in der kommenden Zeit spezifische Strategien zur Ausbildung hochqualifizierter Mitarbeiter verfolgen werde, damit diese sich weiterhin voller Selbstvertrauen ihrer Arbeit widmen könnten.

Als er VCS die Aufgabe übertrug, betonte Herr Tao Duc Thang, dass VCS weiterhin mehr Sicherheitsexperten ausbilden müsse und entschlossen sei, die nächste Generation mit den besten Grundlagen auszubilden, damit sie nicht nur dem Unternehmen, sondern auch dem Land dienen und die Nation im Cyberspace schützen könne.