Palo Alto Networks findet unentdeckte Spionage Malware

Die Cyber-Sicherheitsexperten von Palo Alto Networks haben interessanten Entwicklungen beim Malware-Toolkit „Animal Farm“ entdeckt. Dieses wurde bei zwei Leak-Vorfällen verwendet, die die kanadische nationale Kryptologie-Agentur CSE in den Jahren 2014 und 2015 betrafen.

Palo Alto Networks. Quelle: Palo Alto

Spionage Malware der Operation SNOWBALL

Hierbei kamen zwei Präsentationen an die Öffentlichkeit, die Ergebnisse zu den „Malware-Implantaten“ der Operationen SNOWBALL 1, SNOWBALL 2 und SNOWMAN enthielten, die Geheimdiensten zugeordnet wurden.

Nachdem die Präsentationen veröffentlicht waren, nutzten viele Malware-Forscher die darin enthaltenen Informationen, um nach Samples, die den Beschreibungen entsprachen, in ihren Datenbanken zu suchen. Dies führte zur Entdeckung von mehreren ähnlichen Implantaten, die als Bunny, Babar, NBot, Dino, Casper und Tafacalou bezeichnet wurden. Die ursprüngliche Version von SNOWBALL, auf der die „geleakte“ Präsentation basiert, blieb jedoch lange unentdeckt. Die Forscher von Palo Alto Networks haben nun diese Malware bei der Suche nach einer anderen nicht verwandten Malware in einem großen Malware-Repository identifiziert. Bei der Betrachtung der Strings und der Struktur konnten sie eine Verbindung zu den Präsentationen herstellen und beschlossen, eine tiefergehende Analyse der Spionagesoftware Babar durchzuführen.

Die erste Version von Babar verwendet viele Funktionen, die in späteren Versionen nicht vorhanden sind. Das Sample war zum Zeitpunkt der Analyse durch das CSEC möglicherweise nicht bekannt gewesen, da eine kompromittierte Website von Drittanbietern, die als C2-Server verwendet wird, nicht in den CSEC-Präsentationen aufgeführt ist. Zudem fanden die Forscher einige simple Bugs und einen Designfehler im Sample, die man in einer staatlich geförderten Malware nicht erwarten würde. So ist der Hauptteil der Konfigurationsdaten im Klartext sichtbar.

Die Malware verfügt über eine Reihe von Funktionen, die vom Abrufen von Systeminformationen über das Herunterladen von Dateien oder das Stoppen von Prozessen auf dem System eines Opfers reichen. Technisch ist sie nicht herausragend und kann nur als durchschnittlich gewertet werden im Vergleich zu anderer offensichtlich staatlich geförderter Malware zu dieser Zeit, wie etwa Careto oder Regin. Der Code und die Struktur ähneln dem Casper-Implantat, so dass Babar höchstwahrscheinlich auf diesem Implantat basiert.

Kommentar verfassen