Babar: Französischer Staatstrojaner hört Skype ab
Neben Messengern kann das Schadprogramm auch Browser sowie Office-Programme ausspähen. Sicherheitsforscher bezeichnen Babar als fortschrittliche Malware. Sie stammt vermutlich vom französischen Geheimdienst.
Die Schadsoftware Babar64 spioniert Messenger-Anwendungen wie Skype und Yahoo, Browser sowie Office-Programme aus. Das haben mehrere Sicherheitsforscher, darunter Mitarbeiter der Unternehmen Cyphort und GData, entdeckt. Ihrer Meinung nach hat ein Staat den Trojaner gesponsert. Die auf Windows-Desktop ausgerichtete Malware stammt vermutlich vom französischen Geheimdienst.
Wie Marion Marschalek vom US-Sicherheitsanbieter Cyphort erklärte, gehe dies aus einem Dokument des kanadischen Geheimdiensts CSEC (PDF) hervor. Dieses hat Der Spiegel im Januar veröffentlicht und stammt aus dem Fundus des Whistleblowers Edward Snowden. Es beschreibt eine ebenfalls “Babar” genannte Malware, hinter der der CSEC Frankreich vermutet.
“Das vorliegende Muster passt gut zu dem, was in dem CSEC-Dokument beschrieben wird”, führt Marschalek im Cyphort-Blog aus. Jedoch gebe es keine zweifelsfreien Beweise für den Vorwurf. Allerdings lasse sich mit Sicherheit sagen, dass Babar fortschrittlicher sei als übliche Malware.
Wahrscheinlich infiziere das Schadprogramm Windows-Rechner per Drive-by-Download oder über bösartige E-Mail-Anhänge, so Marschalek weiter. Barbar selbst sei eine 32-Bit-DLL-Datei, die in C++ geschrieben sei und sich in Windows-Anwendungen einklinke. Unter anderem sei der Trojaner in der Lage, Tastatureingaben aufzuzeichnen, Screenshots zu erstellen, Telefonieanwendungen abzuhören sowie Instant Messenger auszuspähen. “Babar ist ein vollwertiges Spionage-Tool, das entwickelt wurde, um die Aktivitäten eines Nutzers unbeschränkt auszuspionieren.”
Babar richtet sich gegen die Browser Internet Explorer, Firefox, Opera, Chrome und Safari. Außerdem suche es nach Messengern Skype, Oovoo, Nimbuzz, Google Talk, Yahoo und X-Lite. Auch Office-Anwendungen Word, PowerPoint, Visio, Notepad, Wordpad und Adobe Reader sind potentielle Ziele.
Die Analyse von Babar ergab, dass es als Befehlsserver zwei legitime Websites nutzt. Eine ist die eines Reisebüros in der algerischen Hauptstadt Algier. Die andere Seite, eine türkische Domain, sei derzeit nicht erreichbar.
Erstmals tauchte der Name “Babar”, der einem französischen Kinderbuch entnommen ist, im März 2014 in einem Bericht von Le Monde auf. Unter Berufung auf ein Snowden-Dokument meldete die französische Zeitung, der kanadische Geheimdienst mache den französischen Auslandsnachrichtendienst Direction Générale de la Sécurité Extérieure (DGSE) für Cyberangriffe verantwortlich. Die Kanadier sprachen in dem Zusammenhang von einer “Operation Babar”.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.