Babar , numit și SNOWGLOBE sau Evil Bunny , este un software rău intenționat în scopuri de spionaj creat de Direcția Generală Franceză pentru Securitate Externă , cunoscut pentru cel puținnoiembrie 2009.
Din 2009, serviciile de informații franceze sunt puternic suspectate că se află la originea Babar, cercetătorii au desemnat Direcția Generală a Securității Externe drept presupusul autor.
21 martie 2014, Le Monde publică, în cadrul dezvăluirilor lui Edward Snowden , un document clasificat top secret al Telecommunications Security Center Canada care descrie o platformă de spionaj computerizată numită SNOWGLOBE, echipată cu module numite SNOWBALL și SNOWMAN. Documentul publicat de Le Monde este un extras de 7 pagini, versiunea completă a celor 25 de pagini va fi publicată ulterior pe17 ianuarie 2015de Der Spiegel .
În acest document, aflăm în special că șirurile de caractere rămase în executabile sugerează că numele de cod utilizat intern de software este „Babar” și că dezvoltarea sa este opera unui anumit „titi”. Unitatea kilobyte-ului este utilizată mai degrabă decât cea a kilobyte-ului , localizarea „fr_FR” este definită în cod, iar șirurile englezești din acesta sunt scrise într-un limbaj destul de dur; atâtea elemente care ar sugera paternitatea Franței pe acest software.
18 februarie 2015, la doar două zile după ce Kaspersky a dezvăluit realizările Equation Group , care a creat programe spyware similare în numele Statelor Unite , un grup de analiști malware publică o serie de articole care detaliază detaliat funcționarea interioară a lui Babar. O primă lucrare a fost publicată de Marion Marschalek de la compania de apărare cibernetică Cyphort, urmată câteva ore mai târziu de un articol de Paul Rascagnères pe blogul G DATA . Concomitent, articolele care anunță noile informații cunoscute despre instrumentul de spionaj sunt publicate în edițiile online ale Le Monde , Vice și Le Soir .
6 martie 2015, Kaspersky a publicat o notă despre Babar și variantele sale, în care el a poreclit grupul care se află în spatele „ Fermei de animale ” ( Fermă de animale ) și a spus că au găsit urme de activitate în 2007.19 iunie 2015, cei trei cercetători din spatele publicațiilor făcute în februarie susțin o nouă prezentare la conferința REcon 2015 de inginerie inversă .
În iunie 2016, Bernard Barbier, care era director tehnic la DGSE în 2012, a confirmat în timpul unui Simpozion CentraleSupélec că Babar a fost creat de DGSE.
Iată lista malware-ului asimilat ca fiind al familiei Babar:
Descris ca un „kit complet spion“, Babar include un keylogger , funcții pentru a lua capturi de ecran , la preluarea diverse informații de sistem, cum ar fi clipboard de conținut , numele ferestrelor, etc. deschise, de limbă, layout - ul tastaturii , prezența anumitor antivirusi , dar de asemenea și, mai presus de toate, posibilitatea de a intercepta conversațiile diferitelor mesaje instantanee și software VoIP .
Babar face acest lucru prin injectarea unui cod rău intenționat în memoria procesului ; vizează în special Internet Explorer , Firefox , Opera , Google Chrome , browserele web Safari , software-ul de vizualizare a documentelor Microsoft Office , Adobe Acrobat , Notepad , WordPad și software-ul de mesagerie instantanee Skype , Windows Live Messenger , ooVoo , Nimbuzz , Google Talk , Yahoo Messenger și X-Lite (ro) . Apoi interceptează o listă predefinită de apeluri API de sistem. Include o implementare a protocolului MSNP .
Serverele care primesc informațiile furate (cunoscute sub numele de „C&C” în jargonul de securitate al computerului) sunt situate în diferite țări și se spune că sunt prezente în principal pe site-uri web compromise, precum și găzduire gratuită. Partea server a Babar este scrisă în PHP .
Potrivit BBRI , unul dintre obiectivele principale ale Babar ar fi Iranul , în special:
Cei cinci ochi , Europa cu Grecia , Franța , Norvegia , Spania , precum și Africa cu Coasta de Fildeș și Algeria ar fi, de asemenea, preocupați . Faptul că au fost vizate fostele colonii franceze , precum și organizațiile francofone, inclusiv mass-media, ar fi ghidat, printre altele, atribuirea lui Babar Franței de către BBRI.