Babar , zwany także SNOWGLOBE lub Evil Bunny , to złośliwe oprogramowanie do celów szpiegowskich stworzone przez francuską Dyrekcję Generalną ds.Bezpieczeństwa Zewnętrznego , znaną co najmniejlistopad 2009.
Od 2009 roku francuskie służby wywiadowcze są silnie podejrzane o to, że są źródłem Babaru, badacze wskazali Generalną Dyrekcję Bezpieczeństwa Zewnętrznego jako domniemanego sprawcę.
Plik 21 marca 2014 r, Le Monde publikuje, w ramach rewelacji Edwarda Snowdena , dokument o klauzuli tajności Telecommunications Security Center Canada opisujący szpiegowską platformę komputerową o nazwie SNOWGLOBE, wyposażoną w moduły o nazwach SNOWBALL i SNOWMAN. Dokument opublikowany przez Le Monde to 7-stronicowy wyciąg, 25-stronicowa pełna wersja zostanie opublikowana później pod adresem17 stycznia 2015przez Der Spiegel .
W tym dokumencie dowiadujemy się w szczególności, że ciągi znaków pozostawione w plikach wykonywalnych sugerują, że nazwa kodowa używana wewnętrznie przez oprogramowanie to „Babar”, a jej rozwój jest dziełem pewnego „titi”. Używana jest jednostka kilobajtu, a nie kilobajta , ustawienie regionalne „fr_FR” jest zdefiniowane w kodzie, a angielskie ciągi znaków są napisane raczej szorstkim językiem; tak wiele elementów, które sugerowałyby ojcostwo Francji na tym oprogramowaniu.
Plik 18 lutego 2015 rzaledwie dwa dni po tym, jak Kaspersky ujawnił osiągnięcia Equation Group , która stworzyła podobne oprogramowanie szpiegowskie w imieniu Stanów Zjednoczonych , grupa analityków szkodliwego oprogramowania publikuje serię artykułów szczegółowo opisujących wewnętrzne funkcjonowanie Babara. Pierwszy artykuł został opublikowany przez Marion Marschalek z firmy cyberobronnej Cyphort, a kilka godzin później artykuł Paula Rascagnèresa na blogu G DATA . Jednocześnie w internetowych wydaniach Le Monde , Vice i Le Soir publikowane są artykuły ogłaszające nowe informacje o narzędziu szpiegowskim .
Plik 6 marca 2015 r, Kaspersky opublikował notatkę o Babarze i jego odmianach, w której nazwał grupę stojącą za „ Animal Farm ” ( Animal Farm ) i powiedział, że w szczególności odnalazł ślady aktywności od 2007 roku.19 czerwca 2015, trzej badacze odpowiedzialni za publikacje dokonane w lutym przedstawili nową prezentację na konferencji REcon 2015 poświęconej inżynierii odwrotnej .
W czerwcu 2016 roku Bernard Barbier, który był dyrektorem technicznym w DGSE w 2012 roku, potwierdził podczas Sympozjum CentraleSupélec, że Babar został stworzony przez DGSE.
Oto lista złośliwego oprogramowania zasymilowanego jako należące do rodziny Babar:
Opisywany jako „kompletny zestaw szpiegowski” Babar zawiera keylogger , funkcje do robienia zrzutów ekranu , pobierania różnych informacji systemowych, takich jak zawartość schowka , nazwy okien itp. Otwarte, język, układ klawiatury , obecność niektórych programów antywirusowych , ale a przede wszystkim możliwość przechwytywania rozmów różnych komunikatorów i programów VoIP .
Babar robi to poprzez wstrzyknięcie złośliwego kodu do pamięci procesu ; jego celem jest w szczególności Internet Explorer , Firefox , Opera , Google Chrome , Safari , oprogramowanie do przeglądania dokumentów Microsoft Office , Adobe Acrobat , Notepad , WordPad i komunikatory internetowe Skype , Windows Live Messenger , ooVoo , Nimbuzz , Google Talk , Yahoo Messenger i X-Lite (en) . Następnie przechwytuje predefiniowaną listę wywołań systemowych funkcji API . Zawiera implementację protokołu MSNP .
Serwery, które otrzymują skradzione informacje (w żargonie bezpieczeństwa komputerowego określane jako „C&C”) znajdują się w różnych krajach i podobno występują głównie na zaatakowanych witrynach internetowych, a także na darmowym hostingu. Część serwerowa Babara jest napisana w PHP .
Według BBRI jednym z głównych celów Babaru jest Iran , w szczególności:
Dotyczy to również Five Eyes , Europy z Grecją , Francją , Norwegią , Hiszpanią , a także Afryką z Wybrzeżem Kości Słoniowej i Algierią . Fakt, że celem były dawne kolonie francuskie , a także organizacje francuskojęzyczne, w tym media, kierowałby między innymi przypisaniem Babaru Francji przez BBRI.