Babar: Sicherheitsforscher enttarnen französischen Staatstrojaner

Mehrere Sicherheitsforscher, darunter Mitarbeiter der Unternehmen Cyphort und GData, haben eine Schadsoftware namens „Babar64“ analysiert, die ihrer Meinung nach von einem Staat gesponsert wurde. Die auf Windows-Desktops ausgerichtete Malware kann Daten von Messenger-Anwendungen wie Yahoo und Skype, Browsern und Office-Programmen ausspionieren. Als Herausgeber vermuten sie den französischen Geheimdienst.

Einen Hinweis darauf liefert laut Marion Marschalek vom US-Sicherheitsanbieter Cyphort ein Dokument des kanadischen Geheimdiensts CSEC (PDF), das Der Spiegel im Januar veröffentlicht hat und das aus dem Fundus des Whistleblowers Edward Snowden stammt. Es beschreibt eine ebenfalls „Babar“ genannte Malware, hinter der der CSEC Frankreich vermutet.

„Das vorliegende Muster passt gut zu dem, was in dem CSEC-Dokument beschrieben wird“, führt Marschalek im Cyphort-Blog aus. Zweifelsfrei könne der Vorwurf allerdings nicht bewiesen werden. Mit Bestimmtheit lasse sich aber sagen, dass Babar fortschrittlicher sei als übliche Malware.

Windows-Rechner würden wahrscheinlich per Drive-by-Download oder über bösartige E-Mail-Anhänge infiziert, so Marschalek weiter. Barbar selbst sei eine 32-Bit-DLL-Datei, die in C++ geschrieben sei und sich in Windows-Anwendungen einklinke. Der Schädling könne Tastatureingaben aufzeichnen, Screenshots erstellen, Telefonieanwendungen abhören und Instant Messenger ausspähen. „Babar ist ein vollwertiges Spionage-Tool, das entwickelt wurde, um die Aktivitäten eines Nutzers unbeschränkt auszuspionieren.“

Babar geht dem Blogeintrag zufolge gezielt gegen die Browser Internet Explorer, Firefox, Opera, Chrome und Safari vor. Zudem suche die Malware nach den Messengern Skype, Oovoo, Nimbuzz, Google Talk, Yahoo und X-Lite. Auch die Office-Anwendungen Word, PowerPoint, Visio, Notepad, Wordpad und Adobe Reader nimmt Babar ins Visier.

Als Befehlsserver nutzt Barbar der Analyse zufolge zwei legitime Websites, darunter die eines Reisebüros in der algerischen Hauptstadt Algier. Die andere Seite, eine türkische Domain, sei derzeit nicht erreichbar.

Erstmals war der Name „Babar“, der einem französischen Kinderbuch entnommen ist, im März 2014 in einem Bericht von Le Monde aufgetaucht. Unter Berufung auf ein Snowden-Dokument meldete die französische Zeitung, der kanadische Geheimdienst mache den französischen Auslandsnachrichtendienst Direction Générale de la Sécurité Extérieure (DGSE) für Cyberangriffe verantwortlich. Die Kanadier sprachen in dem Zusammenhang von einer „Operation Babar“.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.