Sicherheitsforscher decken französischen Staatstrojaner Babar auf

PolitikRechtSicherheitÜberwachungVirus
flagge-frankreich (Bild: ZDNet.de)

Die Schadsoftware ist in der Lage, Messenger wie Skype und Yahoo abzuhören. Babar spioniert jedoch auch Browser und Office-Programme aus. Laut den Sicherheitsforschern ist der Staatstrojaner fortschrittlicher als herkömmliche Malware.

Mehrere Sicherheitsexperten, darunter auch Mitarbeiter der Unternehmen Cyphort und GData, haben ein Schadprogramm mit dem Namen “Babar64” untersucht, das ihrer Ansicht nach durch einen Staat gesponsert wurde. Die für Windows-Desktops konzipierte Malware kann Daten von Messenger-Anwendungen wie Yahoo und Skype, Browsern und Office-Programmen ausspähen. Als Herausgeber vermuten sie den französischen Geheimdienst.

flagge-frankreich (Bild: ZDNet.de)

Einen Hinweis darauf liefert laut Marion Marschalek vom US-Sicherheitsanbieter Cyphort ein Dokument des kanadischen Geheimdienstes CSEC (PDF), welches “Der Spiegel” im Januar publiziert hat. Es stammt aus dem Fundus des Whistleblowers Edward Snowden und beschreibt eine ebenfalls “Babar” genannte Malware, hinter der der CSEC Frankreich vermutet.

“Das vorliegende Muster passt gut zu dem, was in dem CSEC-Dokument beschrieben wird”, erläutert Marschalek in einem Cyphort-Blogbeitrag. Die Anschuldigung könne jedoch nicht zweifelsfrei bewiesen werden. Mit Gewissheit lasse sich jedoch sagen, dass Babar fortschrittlicher sei als herkömmliche Malware.

Wahrscheinlich würden Windows-Rechner per Drive-by-Download oder über schadhafte E-Mail-Anhänge infiziert, so Marschalek weiter. Bei Barbar selbst handele es sich um eine in C++ geschriebene 32-Bit-DLL-Datei, die sich in Windows-Anwendungen einklinke. Das Schadprogramm könne Tastatureingaben aufzeichnen, Screenshots generieren, Telefonieanwendungen abhören und Instant Messenger ausspähen. “Babar ist ein vollwertiges Spionage-Tool, das entwickelt wurde, um die Aktivitäten eines Nutzers unbeschränkt auszuspionieren.”

Babar greift laut dem Blogbeitrag gezielt die Browser Internet Explorer, Firefox, Opera, Chrome und Safari an. Überdies fahnde die Malware nach den Messengern Skype, Oovoo, Nimbuzz, Google Talk, Yahoo und X-Lite. Auch die Office-Anwendungen Word, PowerPoint, Visio, Notepad, Wordpad und Adobe Reader nimmt Babar ins Visier. Als Kommandoserver nutzt Barbar der Analyse zufolge zwei legitime Websites, unter anderem die eines Reisebüros in der algerischen Hauptstadt Algier. Die andere Seite, eine türkische Domain, sei aktuell nicht erreichbar.

Erstmals war der aus einem französischen Kinderbuch entnommene Name “Babar” im März 2014 in einem Bericht von Le Monde aufgetaucht. Unter Berufung auf ein Snowden-Dokument berichtete die französische Zeitung, der kanadische Geheimdienst mache den französischen Auslandsnachrichtendienst Direction Générale de la Sécurité Extérieure (DGSE) für Cyberangriffe verantwortlich. Die Kanadier sprachen in dem Kontext von einer “Operation Babar”.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen