Babar: Komplexe Spyware, wohl aus Frankreich

18. Februar 2015, 14:52
4 Postings

Österreichische IT-Forscherin analysierte das raffinierte Schadprogramm

NSA und GCHQ, China, Russland und Nordkorea: Wenn es um staatliche Trojaner und den kriegerische Aktivitäten im Cyberspace geht, geraten fast immer dieselben Akteure in die Schlagzeilen. Dass allerdings auch andere Nationalstaaten mit ihren Geheimdiensten online schnüffeln, zeigt nun ein neuer Bericht über die vermutlich aus Frankreich stammende Spyware "Babar". Die österreichische IT-Forscherin Marion Marschalek, die bei der Sicherheitsfirma Cyphort tätig ist, hat das Schadprogramm gemeinsam mit zwei Kollegen unter die Lupe genommen.

"Gezielt Daten stehlen"

Die Spyware spielt dabei alle Stücke: Office-Dokumente können ausgespäht werden, ebenso kann das Programm Instant Messenger oder Telefonie-Dienste wie Skype überwachen oder Tastenschläge protokollieren. "Babar grenz sich in seiner Komplexität klar von der üblichen Masse an Schadsoftware ab", sagt Marschalek im Gespräch mit derStandard.at. Es handle sich um eine "DLL-Datei, die zur Laufzeit in mehrere Windows-Prozesse injiziert wird" und so "Zugriff auf Daten aller laufenden Prozesse abgreifen". Die Software wurde laut Marschalek konzipiert, "um gezielt Daten von infizierten Rechnern zu stehlen."

NSA weiß Bescheid

Erwähnung fand Babar dabei in Dokumenten, die von NSA-Whistleblower Edward Snowden weitergegeben wurden. Der kanadische Geheimdienst berichtet darin von einer "Operation Snowglobe", bei der die Malware "Babar" vom französischen Geheimdienst eingesetzt wird. Auch die französische Zeitung Le Monde berichtete ausführlich über Snowglobe, das vor allem iranische Ziele ins Visier genommen hat. Laut Marschalek ist Babar zuletzt 2013 aktiv gewesen. Der Bericht verdeutlicht, dass auch andere Nationen abseits der "üblichen Verdächtigen" in den vergangenen Jahren ihre Cyberangriffsfähigkeiten forciert haben. (fsc, derStandard.at, 18.2.2015)

  • Die Malware erhielt ihren Namen wohl durch eine französische Kindersendung
    foto: screenshot

    Die Malware erhielt ihren Namen wohl durch eine französische Kindersendung

Share if you care.