Analyse der Spionagesoftware Babar
Im Verlauf der Untersuchungen kamen zwei Präsentationen an die Öffentlichkeit, die Ergebnisse zu den „Malware-Implantaten“ der Operationen SNOWBALL 1, SNOWBALL 2 und SNOWMAN enthielten, die Geheimdiensten zugeordnet wurden.
Nachdem die Präsentationen veröffentlicht waren, nutzten viele Malware-Forscher die darin enthaltenen Informationen, um nach Samples, die den Beschreibungen entsprachen, in ihren Datenbanken zu suchen. Dies führte zur Entdeckung von mehreren ähnlichen Implantaten, die als Bunny, Babar, NBot, Dino, Casper und Tafacalou bezeichnet wurden. Die ursprüngliche Version von SNOWBALL, auf der die „geleakte“ Präsentation basiert, blieb jedoch lange unentdeckt.
Die Forscher von Palo Alto Networks haben nun diese Malware bei der Suche nach einer anderen nicht verwandten Malware in einem großen Malware-Repository identifiziert. Bei der Betrachtung der Strings und der Struktur konnten sie eine Verbindung zu den Präsentationen herstellen und beschlossen, eine tiefergehende Analyse der Spionagesoftware Babar durchzuführen.
Babar Malware auf durchschnittlichem Niveau
Die erste Version von Babar verwendet viele Funktionen, die in späteren Versionen nicht vorhanden sind. Das Sample war zum Zeitpunkt der Analyse durch das CSEC möglicherweise nicht bekannt gewesen, da eine kompromittierte Website von Drittanbietern, die als C2-Server verwendet wird, nicht in den CSEC-Präsentationen aufgeführt ist. Zudem fanden die Forscher einige simple Bugs und einen Designfehler im Sample, die man in einer staatlich geförderten Malware nicht erwarten würde. So ist der Hauptteil der Konfigurationsdaten im Klartext sichtbar.
Die Malware verfügt über eine Reihe von Funktionen, die vom Abrufen von Systeminformationen über das Herunterladen von Dateien oder das Stoppen von Prozessen auf dem System eines Opfers reichen. Technisch ist sie nicht herausragend und kann nur als durchschnittlich gewertet werden im Vergleich zu anderer offensichtlich staatlich geförderter Malware zu dieser Zeit, wie etwa Careto oder Regin. Der Code und die Struktur ähneln dem Casper-Implantat, so dass Babar höchstwahrscheinlich auf diesem Implantat basiert.
Über Palo Alto Networks GmbH
Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.
