Babar , nazývaný také SNOWGLOBE nebo Evil Bunny , je škodlivý software pro špionážní účely vytvořený francouzským generálním ředitelstvím pro vnější bezpečnost , známým přinejmenšímlistopadu 2009.
Od roku 2009 jsou francouzské zpravodajské služby silně podezřelé z Babarova původu, vědci označili za údajného pachatele Generální ředitelství pro vnější bezpečnost .
The 21. března 2014„ Le Monde publikuje v rámci odhalení Edwarda Snowdena dokument s přísným tajemstvím Telecommunications Security Center Canada popisující počítačovou špionážní platformu s názvem SNOWGLOBE, vybavenou moduly s názvem SNOWBALL a SNOWMAN. Dokument publikovaný společností Le Monde je výtahem ze 7 stran, plná verze 25 stran bude zveřejněna následně na17. ledna 2015podle Der Spiegel .
V tomto dokumentu se dozvídáme zejména to, že znakové řetězce ponechané ve spustitelných souborech naznačují, že kódový název používaný interně softwarem je „Babar“ a že jeho vývoj je dílem určitého „titi“. Používá se jednotka kilobyte místo jednotky kilobyte , národní prostředí „fr_FR“ je definováno v kódu a anglické řetězce jsou v něm napsány spíše hrubým jazykem; tolik prvků, které by naznačovaly otcovství Francie na tomto softwaru.
The 18. února 2015Pouhé dva dny poté, co společnost Kaspersky odhalila úspěchy skupiny Equation Group , která vytvořila podobný spyware pro Spojené státy , skupina analytiků škodlivého softwaru vydává řadu článků podrobně popisujících vnitřní fungování společnosti Babar. První příspěvek publikoval Marion Marschalek ze společnosti Cyberort Cyberort, o několik hodin později následoval článek Paula Rascagnèresa na blogu G DATA . Souběžně jsou články oznamující nové informace o špionážním nástroji publikovány v online vydáních Le Monde , Vice a Le Soir .
The 6. března 2015, Kaspersky zveřejnil poznámku o Babarovi a jeho variantách, ve které přezdíval skupinu, která stojí za „ Farma zvířat “ ( Animal Farm ), a uvedl, že zejména našel stopy činnosti od roku 2007.19. června 2015, tři vědci, kteří stojí za publikacemi vydanými v únoru, pořádají novou prezentaci na konferenci reverzního inženýrství REcon 2015.
V červnu 2016 Bernard Barbier, který byl technickým ředitelem na DGSE v roce 2012, během sympozia CentraleSupélec potvrdil, že Babar byl vytvořen DGSE.
Zde je seznam malwaru asimilovaného jako malware rodiny Babar:
Popisován jako „kompletní špionážní sada“, Babar zahrnuje keylogger , funkce pro pořizování screenshotů , načítání různých systémových informací, jako je obsah schránky , názvy oken. Otevřený, jazyk, rozložení klávesnice , přítomnost některé antiviry , ale také a především možnost zachycení konverzací různých programů pro rychlé zasílání zpráv a hlasu přes IP .
Babar to dělá vstřikováním škodlivého kódu do paměti procesu ; zaměřuje se zejména na Internet Explorer , Firefox , Opera , Google Chrome , webové prohlížeče Safari , software pro prohlížení dokumentů Microsoft Office , Adobe Acrobat , Poznámkový blok , WordPad a software pro rychlé zasílání zpráv Skype , Windows Live Messenger , ooVoo , Nimbuzz , Google Talk , Yahoo Messenger a X-Lite (en) . Poté zachytí předdefinovaný seznam systémových volání API . Zahrnuje implementaci protokolu MSNP .
Servery, které přijímají odcizené informace (v žargonu počítačové bezpečnosti označované jako „C&C“), se nacházejí v různých zemích a uvádí se, že jsou přítomny hlavně na napadených webech a také na bezplatném hostování. Serverová část Babaru je napsána v PHP .
Podle BBRI je jedním z hlavních cílů Babaru Írán , zejména:
Mezi pět Eyes , Evropy s Řeckem , Francii , Norsku , Španělsku , stejně jako Afriky s Pobřežím slonoviny a Alžírskem by být také znepokojen . Skutečnost, že terčem byly bývalé francouzské kolonie , stejně jako frankofonní organizace, včetně médií, by vedla mimo jiné k tomu, že BBRI přisuzoval Babar Francii.