Cyber-espionnage : Babar sert-il les intérêts français ?

RégulationsRisquesSécuritéSurveillanceVirus
babar-evilbunny

G-Data fait le rapprochement entre Babar et EvilBunny, deux logiciels espions vraisemblablement exploités par renseignement français.

Un éléphant et un lapin dans une boule à neige. Derrière ce tableau énigmatique se cachent Babar et EvilBunny, deux logiciels espions exploités dans le cadre de l’opération Snowglobe.

Cette campagne d’écoutes électroniques avait été, voilà plusieurs années, passée au crible par les équipes du Centre de la sécurité des télécommunications du Canada (CSEC). Les conclusions de ces chercheurs avaient été compilées, en 2011, dans un document gardé secret… jusqu’à ce qu’Edward Snowden le récupère et le communique à la presse.

Le journal français Le Monde avait donné l’impulsion au mois de mars 2014, en publiant une partie du rapport. Der Spiegel a fait de même il y a quelques semaines. Mais le quotidien allemand a divulgué l’intégralité du document, soit 25 pages (au format PDF).

Autant de renseignements supplémentaires qui ont simplifie la tâche des experts en sécurité informatique. En tête de liste, le laboratoire de l’éditeur G-Data, qui est parvenu à établir une correspondance entre plusieurs échantillons de malware et le duo Babar-EvilBunny tel que décrit par le CSEC.

Parmi les éléments qui confirment cette adéquation, une faute de frappe que l’on retrouve dans les deux cas : au lieu d’utiliser la chaîne de caractères MSIE pour appeler le navigateur Internet Explorer de Microsoft, Babar utilise MSI. Cela n’a toutefois pas d’incidence sur l’exécution du logiciel malveillant, la commande concernée ayant été ajoutée a posteriori dans le code.

Autre pièce à conviction : en page 19 du rapport, le CSEC note que la locale fr_FR (français de France) est utilisée en standard par les échantillons d’EvilBunny. En outre, la valeur «fr» est réglée par défaut pour le paramètre Accept-Language lors des requêtes vers les serveurs de commande et de contrôle (C&C) du malware. C’est aussi le cas pour les échantillons de G-Data.

Plusieurs autres problèmes linguistiques se posent : l’abréviation «ko», désignant le kilo-octet est utilisée à la place de «kB», qui se réfère au «kilobyte» anglophone. Et certaines formulations sont si hasardeuses qu’elles semblent émaner d’individus dont l’anglais n’est pas la langue maternelle. C’est sans compter ces fautes de grammaire comme avec le message «File does not exists» pour la gestion des erreurs d’extraction de fichiers sur l’interface d’administration de Babar.

Du sang français

D’après G-Data, tous ces indices orientent sur la piste d’une opération de cyber-espionnage orchestrée par une agence de renseignement française. Quant à la ressemblance entre Babar et EvilBunny, elle est non seulement flagrante au regard de la confusion entre MSI et MSIE (qui peut résulter d’une erreur de copier-coller ou de l’utilisation d’une même bibliothèque logicielle), mais aussi au vu des capacités communes aux deux logiciels.

Aussi bien Babar qu’EvilBunny commencent par lister toutes les solutions antivirus installées sur les machines qu’ils infectent. L’outil WMI (Windows Management Instrumentation) leur permet d’obtenir, via la composante ROOT\Security Center (ou ROOT\SecurityCenter à partir de Windows Vista) un descriptif complet avec nom de l’éditeur, version et identifiant unique de l’application ou encore état de la protection en temps réel.

Pour ne pas éveiller les soupçons des chercheurs en sécurité IT, les deux spywares exécutent des API sans les appeler explicitement. Les fonctions externes situées dans les bibliothèques dynamiques sont exploitées via un hash communiqué à une fonction interne, laquelle établit la relation entre le hash et l’adresse en mémoire de la fonction externe.

Babar surveille tout particulièrement la suite Office (Word, Excel, PowerPoint), la visionneuse PDF Adobe Acrobat Reader, les bloc-notes Notepad et Wordpad, ainsi que plusieurs services de messagerie instantanée (Skype, Yahoo Messenger, Google Talk, MSN Messenger). Il suit par ailleurs les extensions de fichiers texte (txt, rtf, doc, docx), tableur (xls, xlsx) et diaporamas (ppt, ppts).

Capable d’injecter du code dans des processus en cours d’exécution, d’enregistrer la frappe clavier et de faire des captures d’écran, Babar peut également enregistrer des conversations audio via les bibliothèques dsound et winmm.

G-Data n’a pas pu déterminer si les serveurs C&C liés au malware avaient été mis en place à cette unique fin ou s’ils avaient été hackés. Sur la liste figurent notamment alexpetro.com (société texane de services pour l’industrie pétrolière) et horizons-tourisme.com (agence de voyages basée en Algérie).

Crédit photo : MekCar – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur