Din revelațiile lui Snowden – experții G DATA analizeazã un program malware documentat de cãtre serviciul de informații canadian.
G DATA SecurityLabs a investigat o mostrã spyware care înregistreazã și transferã intrãri de pe tastaturã, date clipboard, date de monitorizare și conversații audio, confirmând astfel dezvãluirile lui Snowden referitoare la o tulpinã spyware de proveniențã francezã, informații documentate de cãtre serviciul de informații canadian, CSEC (Communication Security Establishment Canada). Ziarul francez Le Monde a fost primul care a semnalat existența acestor documente cu aproape un an în urmã. Experții G Data au publicat detaliile tehnice pentru prima datã, în urma analizei malware-ului Babar, care a fost realizatã în tandem cu alte agenții de cercetare de securitate internaționale. Analiștii nu au putut stabili dacã aceste servere de control malware au fost în mod deliberat puse în funcțiune sau au fost compromise. În opinia experților, dezvoltarea unui astfel de program necesitã investiții substanțiale de personal și infrastructurã. Nivelul de complexitate al malware-ului sugereazã cã ar proveni de la un serviciu secret. Serviciul de informații canadian considerã cã responsabile de malware-ul Babal sunt serviciile secrete franceze. Soluțiile de securitate G Data detecteazã și blocheazã malware-ul.
"Babar este un program spyware foarte sofisticat care putea fi produs doar de programatori foarte bine pregãtiți”, explicã Eddy Willems, Security Evangelist G DATA Software AG. " Babar este proiectat sã funcționeze în mod special în rețelele companiilor, autoritãților, organizațiilor și institutelor de cercetare, de unde sustrage date sensibile. Ca rezultat, conversații audio, cum ar fi cele de pe Skype, de exemplu, pot fi înregistrate. Chiar și un atac direcționat asupra utilizatorilor individuali pare posibil. O distribuție în masã a unui astfel de malware este, totuși, foarte puțin probabil”, spune Willems.
Istoricul documentelor CSEC
În martie 2014, cotidianul francez Le Monde primește un raport referitor la documentele serviciului de informații canadian CSEC (Communication Security Establishment Canada), datat din 2011, care a ieșit la luminã în timpul dezvãluirilor lui Edward Snowden. Revista germanã de știri, Der Spiegel, a preluat subiectul în ianuarie 2015 și a publicat un conținut suplimentar al acestor documente – Operațiunea Snowglobe.
Ce este Babar?
Babar este un instrument de administrare la distanțã (RAT), a cãrui funcție principalã este de a spiona date. Potrivit serviciului de informații canadian, în urma analizei malware-ului EvilBunny din decembrie 2014, Babar a fost și numele de cod al unei operațiuni a unui serviciu secret național numit Snowglobe. Acest lucru aratã cã Babar ar putea fi a doua tulpinã malware identificatã a fi fost conectatã la campania spyware Snowglobe. Numele de "Babar" vine de la o serie de cãrți franțuzești pentru copii, al cãrei erou este un elefant.
Din cauza similitudinilor dintre ele, experții în securitate de la G Data sunt convinși cã cele douã tulpini provin de la aceeași dezvoltatorii.
Informații tehnice detaliate pot fi gãsite pe blogul G Data: https://blog.gdatasoftware.com/blog/article/babar-espionage-software-finally-found-and-put-under-the-microscope.html.