Обнаружено вредоносное ПО, созданное французской разведкой

Обнаружено вредоносное ПО, созданное французской разведкой

Исследователи обнаружили вредоносное ПО Babar, использовавшееся группировкой Animal Farm.

Исследователи из Palo Alto Networks случайно  обнаружили один из вариантов вредоносного ПО Babar, датированный 2007 годом, который использовался хакерской группировкой Animal Farm и, предположительно, был разработан французской разведкой.

Теория, согласно которой французская разведка стоит за Animal Farm, основана на информации из слайдов CSE, а также языковых и региональных настроек и различных строк, найденных в коде вредоносного ПО. Загрузчик и основная полезная нагрузка для версии Babar 2007 года имели идентификатор языка 1036, который соответствует французскому.

Впервые о хакерской группировке Animal Farm стало известно в марте 2014 года, когда французское издание опубликовало серию слайдов, обнародованных Эдвардом Сноуденом. Слайды принадлежали Канадскому Центру безопасности коммуникаций (Communications Security Establishment, CSE) и подробно описывали шпионскую операцию под кодовым названием «Operation Snowglobe».

Дальнейший анализ вредоносного ПО показал, что Animal Farm использовала несколько программ, чьи названия были отсылками к персонажам мультфильмов (Babar, Dino, Casper и Bunny). Другие разновидности вредоносного ПО, используемые хакерами, известны под названиями NBot и Tafacalou.

Группировка, считавшаяся активной по крайней мере с 2009 года, проводила атаки на правительственные организации, военных подрядчиков, частные фирмы, медиа-компании, активистов и организации гуманитарной помощи во многих странах мира.

В 2015 году «Лаборатория Касперского» обнаружила доказательства того, что некоторые вредоносные программы из арсенала Animal Farm разрабатывались с 2007 года, но компания не раскрыла подробностей. Palo Alto Networks удалось обнаружить раннюю версию Babar, скомпилированную в 2007 году (программа также известна под названием Snowball). Образцы этого вредоносного ПО, пронализированные ранее, были датированы 2011 годом. Анализ кода и структуры показал, что вредоносное ПО Casper, используемое Animal Farm, основано именно на этой версии Babar.

Исследователи проанализировали загрузчик. В графе времени компиляции значилось «11/09/2007». Хотя в теории временные метки могут быть изменены, эксперты считают их подлинными. Данная версия Babar была способна получать информацию о взломанном устройстве, перезагружать или отключать зараженную систему, загружать вредоносные файлы и закрывать произвольные процессы. 


Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться