В Китае завершился Tianfu Cup, крупнейший национальный хакатон, в котором состязались команды специалистов по поиску уязвимостей в информационных системах. Благодаря использованию ранее не обнаруженных слабых мест, участникам удалось взломать практически все современные программные решения.
За успешные атаки на браузеры приз в размере 744 500 долларов был присужден победителю соревнования Google Chrome и Mozilla Firefox, а также взлом операционных систем (ОС) iOS, под управлением которой работал iPhone 11 Pro, и Microsoft Windows 10 2004, запущенной на планшете Surface Pro 5. Команда носит длинное название 360 Институт исследований уязвимостей в области безопасности предприятий, государственных структур и принципов устойчивого развития (ESG . В состав организации входят сотрудники, трудящиеся в китайской фирме, занимающейся разработкой решений в области интернет-безопасности Qihoo в общей сложности эта команда получила две трети от общего призового фонда, размер которого составлял 1,2 миллиона долларов.
Сотрудники Qihoo специалистам компании 360 удалось взломать корпоративное программное обеспечение, предназначенное для виртуализации VMWare EXSi, просмотрщик PDF-документов Adobe Reader (две успешные атаки), смартфон Samsung Galaxy S20 под управлением Android 10, программную среду эмуляции QEMU и ОС Ubuntu вдобавок, им удалось без труда взять под контроль роутер TP-Link WDR7660.
Не меньшего успеха добились и другие участники, которые смогли вывести из строя браузер Safari, корпоративное решение для управления программным обеспечением Docker и маршрутизатор ASUS AX86U. Кроме того, не только специалисты из Qihoo специалисты компании 360 успешно отразили атаку на указанное программное обеспечение. Злоумышленники пытались достичь своих целей неоднократно.
Например, iPhone 11 удалось взломать двумя способами, как и Galaxy S20. А просмотрщик документов в формате PDF от компании Adobe и вовсе «отличился» — на него были совершены пять успешных атак. Сравнимое количество новых уязвимостей нашлось только в роутере TP-Link: четыре штуки.
Стоит отметить, что организаторы хакатона определили несколько дополнительных целей для соревновательных дисциплин, однако участники не уделили должного внимания некоторым из них. Браузер Microsoft Edge, пользовательский пакет VMware Workstation и система Exchange Server в 2019 году командам потенциально могли бы достаться дополнительные 380 тысяч долларов. Однако по неизвестной причине эти средства не были использованы. Вероятно, киберпреступники не проявляют значительного интереса к этим программным решениям, либо в рамках конкурса на их разработку попросту не хватило времени.
Из 16 поставленных задач удалось выполнить 11, наиболее популярные приложения и операционные системы стали целью успешных атак. Естественно, разработчики каждого программного продукта получили исчерпывающую информацию о всех обнаруженных уязвимостях.
Хакатон Tianfu Cup проводится с 2018 года. Его организовали после того, как Компартия запретила китайским специалистам по кибербезопасности участвовать в зарубежных профессиональных соревнованиях. По своим принципам конкурс похож на один из самых престижных хакерских чемпионатов — Pwn2Own. Участникам предстоит достичь определенных целей, таких как выполнение кода с заданными привилегиями на уязвимом устройстве. Им необходимо обнаружить и использовать ранее не выявленную уязвимость. За успешное выполнение задания участники получают баллы и денежные вознаграждения. Все найденные программные ошибки передаются разработчикам ПО.