Eine Spionage-Software, die Eingaben über die Tastatur, Daten aus der Zwischenablage und dem Bildschirm und Audiogespräche mitschneidet und übertragen kann, haben die G DATA SecurityLabs untersucht und somit die Snowden-Enthüllung über ein staatliches französisches Spionageprogramm aus Dokumenten des kanadischen Nachrichtendienstes CSEC bestätigt. Nachdem vor fast genau einem Jahr die französische Zeitung „Le Monde“ zum ersten Mal über die Existenz dieser Akten berichtet hat, geben die G DATA Experten mit der Analyse der Malware Babar gemeinsam mit anderen internationalen Sicherheitsforschern zum ersten Mal technische Details bekannt. Ob diese Steuerungsserver der Malware gezielt in Betrieb genommen oder kompromittiert wurden, konnten die Analysten nicht feststellen. Eine solche Software kann nach Meinung der Experten nur mit hohen Investitionen in Personal und Infrastruktur realisiert werden. Der Komplexitätsgrad des Schädlings lässt daher einen Geheimdienstursprung vermuten. Der kanadische Nachrichtendienst vermutet den französischen Geheimdienst hinter Babar. G DATA Sicherheitslösungen erkennen und blockieren die analysierten Schädlinge.
Eddy Willems – Security Evangelist bei der G DATA Software AG
„Babar ist eine hochentwickelte Spionagesoftware, die nur von sehr gut ausgebildeten Entwicklern hergestellt werden konnte“, erklärt Eddy Willems, Security Evangelist bei der G DATA Software AG. „Babar ist dafür ausgelegt, gezielt in Netzwerken von Unternehmen, Behörden, Organisationen und Forschungseinrichtungen zu agieren und dort sensible Daten zu stehlen. So können beispielsweise Audiogespräche, wie Skype-Unterhaltungen, mitgeschnitten werden. Auch ein gezielter Angriff auf Privatpersonen im Visier der Angreifer scheint denkbar. Eine massenhafte Verbreitung einer solchen Malware ist jedoch sehr unwahrscheinlich“, so Willems.
Hintergrund CSEC-Dokumente
Bereits im März 2014 berichtete die französische Tageszeitung über Dokumente des kanadischen Nachrichtendienstes CSEC (Communication Security Establishment Canada) aus dem Jahr 2011, die im Zuge der Enthüllungen von Edward Snowden an die Öffentlichkeit gelangt waren. Das deutsche Nachrichtenmagazin Der Spiegel griff das Thema im Januar 2015 auf und veröffentlichte weitere Inhalte dieser Akten: die Operation „Snowglobe“.
Was ist Babar?
Babar ist ein Fernsteuerungstool (engl. RAT, Remote Administration Tools), dessen Hauptfunktion es ist, Daten auszuspionieren. Nachdem bereits im Dezember 2014 das Schadprogramm EvilBunny analysiert wurde, ist mit Babar nun eine zweite Malware identifiziert, die mit der Spionage-Kampagne „Snowglobe“ in Verbindung steht, denn laut dem kanadischen Nachrichtendienst war Babar auch der interne Name einer vermeintlich staatlichen Geheimdienstoperation namens „Snowglobe“. Der Name Babar ist aus einer französischen Kinderbuchreihe bekannt, deren Held ein Elefant ist.
Die G DATA Sicherheitsexperten sind davon überzeugt, dass aufgrund von identifizierten Gemeinsamkeiten beide Schädlinge von denselben Entwicklern stammen.