Sicherheit: Auch Frankreich setzt auf eigenen Staatstrojaner

Einem Bericht zufolge reiht sich Frankreich in die Liste der Staaten ein, deren Geheimdienste eigene Spyware programmieren. Was bisher nur eine, wenn auch recht sichere Vermutung war, ist nach Ansicht von Sicherheitsexperten nun bewiesen.

Die nach dem Elefanten aus der Kinderbuchreihe benannte Malware „Babar“ ist Sicherheitsexperten von Cyphort Labs zufolge ein „vollendetes Tool zur Cyberspionage“, hinter dem allen Anzeichen nach ein Nationalstaat steht. Die Malware infiziert Windows-Systeme um „nahezu alles von Wert“ vom System zu laden, also Daten von Chatprogrammen, VOIP-Clients, Browsern und Office-Programmen.

Der Name „Babar“ ist der interne Projektname – bereits im Januar berichteten durch den Spiegel geleakte Dokumente (PDF) des kanadischen Nachrichtendienstes CSEC über ein angeblich staatlichen Spähprogramm mit diesem Namen. Angegriffen wurden in der Vergangenheit damit iranische Einrichtungen, die der Erforschung von Atomtechnologie dienen, aber auch Einrichtungen innerhalb der Europäischen Union in Griechenland und Spanien wurden angegriffen.

Technologisch besteht die Malware aus einem sogenannten Dropper und dem eigentlichen Schadprogramm. Letzteres ist in der Lage, sich an relevante Programmierschnittstelle (APIs) zu hängen und relevante Daten abzugreifen. Nach einer Erstinfektion per Drive-by-Download oder über einen infizierten E-Mail-Anhang nistet sich das Spähprogramm als 32-Bit DDL auf dem System. Als Command-and-Control-Server dienen Internetseiten, beispielsweise die einer algerischen Reiseagentur – nach Cyphort Labs-Angaben scheinen die entsprechenden Domains ohne das Wissen der Betreiber für die Kontrolle der Malware missbraucht zu werden.