Nie tylko NSA, czyli francuski rządowy koń trojański ze słonikiem

dodał 23 lutego 2015 o 20:17 w kategorii Złośniki  z tagami:
Nie tylko NSA, czyli francuski rządowy koń trojański ze słonikiem

USA, Rosja i Chiny nie są jedynymi krajami, którego służby stać na wyprodukowanie własnego złośliwego oprogramowania. Wiele dowodów wskazuje na to, że w sieci krąży również oryginalny koń trojański autorstwa Francuzów.

Ostatnimi czasy często opisywaliśmy złośliwe oprogramowanie tworzone przez rządy wielkich krajów lub powiązane z nimi organizacje i jednostki. USA, Chiny czy Rosja dysponują wieloma zasobami i stać je na produkowanie własnych, oryginalnych rozwiązań. Kraje mniejsze, o niższym poziomie rozwoju technologicznego wolą rozwiązania gotowe, takie jak chociażby RCS autorstwa Hacking Team czy FinFisher autorstwa Gamma International. Są jednak kraje, które ambicjami dorównują gigantom – jak na przykład Francja.

Uroczy słonik

Na pierwsze ślady francuskiego konia trojańskiego natrafić możemy w dokumentach ujawnionych przez Snowdena. Znajdujemy tam informację, że w październiku 2009 kanadyjska agencja wywiadu napotkała na jednym z monitorowanych przez siebie systemów ślady cudzej operacji. Projektowi nadano kryptonim Snowglobe.

Egzemplarz złośliwego oprogramowania niewiadomego wówczas pochodzenia Kanadyjczycy zlokalizowali na komputerach Uniwersytetu Imama Husajna w Teheranie. Program ten okresowo pakował do archiwum RAR pocztę elektroniczną użytkownika komputera i przekazywał plik na zewnątrz. Kanadyjczycy zaobserwowali jego podejrzane działanie i skopiowali próbkę.

Program nie był szczególnie wyrafinowany. Wstrzykiwał się do procesu svchost.exe, stosował „szyfrowanie” XOR i łączył się z C&C po HTTP. Na podstawie jego zachowania stworzono wzorzec przeszukiwania ruchu sieciowego i znaleziono kolejne kopie w Iranie, Norwegii, Grecji, Belgii, Algierii, Wybrzeżu Kości Słoniowej, Francji oraz w USA. W Iranie wirusa odnaleziono w:

  • Ministerstwie Spraw Zagranicznych,
  • Agencji Energii Atomowej,
  • firmach telekomunikacyjnych,
  • uniwersyteckich jednostkach badawczych.

W programie natrafiono na jego oryginalną nazwę – autor ochrzcił go Babar, imieniem bohatera popularnych francuskich bajek dla dzieci.

Słodki słonik

Słodki słonik

Wśród standardowego zestawu umiejętności program posiada także następujące funkcje:

  • podsłuchiwanie rozmów prowadzonych za pomocą Skype, Google Talk, MSN i Yahoo Messengera,
  • rejestrowanie naciskanych klawiszy,
  • wykonywanie zrzutów ekranu,
  • rejestrowanie odwiedzanych stron WWW,
  • kopiowanie zawartości schowka,
  • zbieranie informacji o zainfekowanym komputerze.

Kto za nim stoi i czemu Francuzi

Zdaniem Kanadyjczyków oraz innych badaczy, którzy przyglądali się programowi, wszystko wskazuje na to, że Babar urodził się we Francji i reprezentuje jej interesy:

  • nazwa pliku silnie powiązana z Francją,
  • pseudonim autora „titi” (zdrobnienie od Thiery),
  • użycie „ko” zamiast „kB” w oznaczeniu kilobajta (tak bardzo francuskie),
  • pliki PDF, które rozpoczynały infekcję, wskazywały również na język francuski (fr_FR),
  • w pliku binarnym znajdowały się komentarze po francusku,
  • interfejs użytkownika w języku angielskim ale wskazujący na autora, dla którego angielski był językiem wyuczonym a nie nabytym (np. !!!EXTRACT ERROR!!!File Does Not Exists)
  • serwery C&C w sporej części zawierały strony francuskojęzyczne (co ciekawe wg raportu część znajdowała się również w Polsce),
  • cele operacji Babara są zgodne z kierunkami zainteresowania francuskiego wywiadu (np. byłe francuskie kolonie).
Ślad po nazwie programu

Ślad po nazwie programu

Kanadyjczycy mogli również obserwować operatorów Babara w trakcie pracy. Program był regularnie aktualizowany (znane są co najmniej 3 różne wersje), lecz dostęp administratora był słabo zabezpieczony – na podstawie samej pasywnej obserwacji ruchu operatora Kanadyjczycy potrafili przejąć jego sesję. Dopiero trzecia wersja programu wprowadziła lepsze szyfrowanie, z którym już nie mógł sobie kanadyjski wywiad poradzić. Mimo tego dzięki małemu błędowi autora stosunkowo łatwo było w sieci namierzyć jego komunikację – pole User-Agent zawierało nietypową literówkę (MSIE -> MSI):

Dzięki tej literówce prywatnym badaczom również podążającym tropem Babara udało się zidentyfikować dwie kolejne rodziny złośliwego oprogramowania (nazwane EvilBunny oraz TFC), korzystające z tych samych serwerów C&C oraz zawierające ten sam błąd w ciągu User-Agent. Trzeba jednak przyznać, że choć nie ma wątpliwości, że autorami są Francuzi, to nie ma też na to ostatecznego dowodu – wszelkie obserwowane połączenia z serwerami lub klientami zawsze przechodziły przez sieć Tor.

Autorzy wszystkich raportów na temat tego przypadku są zgodni – jakość kodu, nie licząc drobnej literówki, znacznie przekracza przeciętny poziom spotykanego na co dzień złośliwego oprogramowania. Jego poziom złożoności nie osiąga poziomów reprezentowanych przez NSA, ale narzędzia działają i spełniają swoją rolę. Białej flagi ani biegu wstecznego w kodzie nie znaleziono.

Źródła: