NSA, GCHQ e i loro alleati dei Five Eyes non sono le uniche agenzie governative che utilizzano i malware per la sorveglianza. L’intelligence francese non è da meno, e ora alcuni ricercatori pensano di averne le prove.
A breve verranno rivelati i dettagli del nuovo potentissimo malware chiamato “Babar” che è in grado di penetrare conversazioni online via Skype, Messenger e Yahoo messenger, può anche loggare keystroke e monitorare quali siti un utente infetto ha visitato.
Videos by VICE
Babar è “uno strumento di spionaggio elaborato per un’intercettazione di eccessiva portata” delle proprie vittime, secondo la ricerca che Motherboard ha potuto consultare in anteprima. I ricercatori pubblicheranno due report separati ma complementari che analizzano vari campioni del malware, ed entrambe le ricerche confermano che responsabile della sua creazione sia l’agenzia di spionaggio francese, il DGSE.
Il ministro della difesa francese non ha risposto alla richiesta di commenti.
“Le nazioni europee sono in grado quanto la Russia e gli USA di portare le proprie operazioni di spionaggio nel cyberspazio,” ha affermato Marion Maschalek, ricercatrice presso Cyphort e autrice di uno dei report, “la Francia è attiva tanto quanto gli altri grandi giocatori.”
“Babar è un noto cartoon francese.” Foto via Der Spiegel
Marschalek ha analizzato i campioni del malware con Paul Rascagneres, un analista della compagnia di sicurezza G DATA, e Joan Calvet, ricercatore presso ESET.
Tracce dell’esistenza di Babar sono state rivelate a Marzo, quando un documento diffuso da Edward Snowden ha descritto una operazione di spionaggio del 2009 chiamata SNOWGLOBE. Secondo l’agenzia di intelligence canadese, la Communications Security Establishment (CSE), che ha scoperto l’operazione, SNOWGLOBE aveva come obiettivo principale il programma nucleare iraniano, ma ha colpito anche vittime di paesi europei come la Grecia e la Spagna.
L’operazione ha utilizzato un malware soprannonimato “Babar” e il CSE ha concluso con “una certa sicurezza” che SNOWGLOBE era un’operazione di hacking condotta da “un’agenzia di intelligence francese.” (I ricercatori credono che questa fosse una versione precedente del malware Babar di cui si sono occupati. Le funzionalità precise di questa vecchia versione non sono chiare.)
Dopo la pubblicazione da parte di Le Monde del documento che descrive SNOWGLOBE e Babar, i ricercatori hanno affermato di aver ottenuto una serie di campioni del malware degli stessi hacker, e che sono della stessa “famiglia” del malware descritto nel documento. Maschalek ci ha detto che un altro ricercatore che preferisce rimanere anonimo ha affermato che copie del malware sono state caricate anche su VirusTotal, un servizio di rilevamento di malware online.
Nonostate i loro analisti non abbiamo scoperto nuove prove che implichino il coinvolgimento della Francia, i due report confermano molti dei dettagli contenuti all’interno dei documenti CSE, secondo i ricercatori.
“Sono sicura sia francese, ma provarlo pubblicamente è praticamente impossibile,” ha detto Maschalek a Motherboard. “Con l’attribuzione binaria generalmente hai solo il problema, non succede come nelle scene del crimine reali, non ci sono prove. Ci sono indicatori, da cui possono essere tratte conclusioni, ma qualsiasi cosa che funga da prova alla fine può essere falsificata.”
Il primo indizio è il nome del malware. Il documento del CSE ha identificato il “nome interno” del malware, Babar appunto—l’elefante di una famosa serie di libri per bambini francesi. Il campione analizzato da Maschalek e Rascagneres è stato chiamato Babar64. Babar comunicava anche con gli stessi server di due altri strumenti di hacking, EvilBunny e TFC—che secondo i ricercatori sarebbero francesi—e quei server erano host di siti in lingua francese.
Un altro indizio è un errore di battitura.
Secondo il documento del CSE l’autore del malware Babar, all’interno del codice avrebbe scritto MSI invece di MSIE. E lo stesso errore è contenuto nel codice di Babar64 e EvilBunny.
Foto via Marion Marschalek/Cyphort
Tutti questi elementi sono “proprietà uniche” che mostrano che il malware analizzato da Maschalek, Rascagneres e Calver è probabilmente associato con quello descritto nel documento CSE, secondo Morgan Marquis-Boire, un ex ricercatore sulla sicurezza di Google che è ora direttore per la sicurezza di First Look Media.
Questi report rappresentano “un passo importante” nella comprensione delle capacità di hacking delle nazioni occidentali che non rientrano nella cerchia dei Five Eyes. Mentre Babar potrebbe non essere sofisticato quando il malware della GCHQ REGIN, o il nuovo malware della NSA, rimane comunque un malware di “alta qualità”, ha affermato Marquis-Boire.
“Ci sono diversi livelli tra i giocatori nell’arena del cyber-spionaggio di stato,” afferma Marquis-Boire, che ha recensito il report. “Ci sono un sacco di malware davvero mal scritti. Qui invece c’è la qualità che ci si aspetta da una nazione con un complesso militare industriale molto ampio.”
Secondo Marschalek, Babar non è “molto sofisticato”, ma è altamente mirato e “un software ottimo, supera il livello di “prodotti” che un analista di malware vede quotidianamente.”
In altre parole pare ci siano le prove che anche la Francia abbia un suo ruolo nel mercato dell’hacking.
