A NSA, a GCHQ, e seus aliados dos Cinco Olhos não são as únicas agências governamentais que utilizam malwares para vigilância. É quase certo que a inteligência francesa também está hackeando seus alvos — e alguns especialistas em segurança acreditam ter provas disso.Na próxima quarta, os especialistas irão revelar novos detalhes sobre um poderoso malware conhecido como "Babar", que é capaz de monitorar conversas pelo Skype, MSN e no chat do Yahoo; além disso, ele pode também roubar informações confidenciais e monitorar os sites acessados pelas suas vítimas.
Publicidade
O Babar é uma "ferramenta de espionagem completa, construída para vigiar extensivamente" suas vítimas, de acordo com a pesquisa disponibilizada com exclusividade para o Motherboard. Os pesquisadores estão publicando dois relatórios complementares que analisam amostras do malware, e que praticamente confirmam que a agência de espionagem francesa, a Diretoria Geral de Segurança Externa (DSGE, na sigla original), está por trás da sua criação.No momento de publicação dessa matéria, o Ministério da Defesa francês não havia respondido à nossa solicitação de pronunciamento."As nações européias são tão capazes de levar seus programas de vigilância para o ciberespaço quanto os EUA ou a Rússia", afirma Marion Marschalek, uma pesquisadora austríaca da Cyphort e autora de um dos vários relatórios. "A França é tão presente quanto qualquer outro país."
Marschalek analisou o malware junto de Paul Rascagneres, um analista de malwares da firma de segurança G DATA, e Joan Calvet, um pesquisador da ESET, uma empresa que fabrica anti-vírus.Os primeiros indícios da existência do Babar surgiram em março do ano passado, quando Edward Snowden publicou um documento que descrevia uma operação de espionagem conduzida em 2009: a Operação SNOWGLOBE. De acordo com a Agência Canadense de Segurança em Comunicação (a CSE, na sigla original), agência que descobriu a operação, a SNOWGLOBE tinha como principal alvo o programa nuclear iraniano, mas também agia em países europeus como a Grécia e a Espanha.
Publicidade
A operação utilizava um malware que os criadores apelidaram de "Babar", e a CSE concluiu com "certeza moderada" que a SNOWGLOBE era uma operação conduzida por uma "agência de inteligência francesa" (os especialistas acreditam que a operação utilizava uma versão anterior do malware que eles analisaram. Não se sabe qual é o poder de alcance dessa versão antiga).Após o Le Monde publicar o documento da CSE que expunha a operação SNOWGLOBE e o Babar, os pesquisadores obtiveram um série de amostras do malware, conhecidos como binários, que faziam parte da mesma "família" do malware descrito no documento. Marschalek disse que outro pesquisador que preferia não ser identificado afirmou que as cópias do malware haviam sido inseridas no VirusTotal, um serviço de detecção de malwares.Apesar da análise dos especialistas não expor nenhuma nova evidência de que a França esteja envolvida, os dois relatórios confirmam muitos dos detalhes presentes no documento da CSE, dizem os pesquisadores."Tenho certeza [de que a França é culpada], mas provar isso publicamente é praticamente impossível", disse Marschalek à Motherboard via mensagem. "Na atribuição binária temos um problema que não existe em cenas de crimes reais — não temos provas físicas. Temos pistas, a partir das quais podemos tirar algumas conclusões, mas qualquer coisa que corresponda à uma identificação digital pode ser forjada."A primeira pista é o nome do malware. O documento da CSE identifica o "nome interno"do malware como Babar — no caso, um elefante de uma série de livros infantis muito popular na França. A amostra analisada por Marschalek e Rascagneres se chamava Babar64. O Babar também se comunicava com os mesmos servidores de outros dois malwares, o EvilBunny e o TFC — cuja criação os pesquisadores também atribuem aos franceses — e esses servidores também hospedavam sites em francês.
Publicidade
Outra pista é um simples erro de digitação.De acordo com o documento da CSE, o criador do Babar cometeu um pequeno erro na cadeia de caracteres do código do malware. Ao invés de digitar MSIE, o criador digitou MSI. O mesmo erro aparecia no código do Babar64 e do EvilBunny.
Essas pequenas pistas são "características únicas" que mostram que o malware analisado por Marschalek, Rascagneres e Calvet está muito provavelmente associado ao vírus descrito no documento vazado, diz Morgan Marquis-Boire, um ex-especialista em segurança do Google que é hoje diretor de segurança da First look Media.Esses relatórios representam um "importante passo" no estudo das ações de vigilância das nações ocidentais que não fazem parte do Cinco Olhos. Apesar do Babar não ser tão sofisticado quanto o malware da GCHQ, o REGIN, ou o recém revelado malware do NSA, ele é ainda uma ferramenta de "alta qualidade", como Marquis-Boire afirmou à Motherboard."Existem diferentes tipos de soldados dentro do campo de batalha de ciberespionagem estatal", disse Marquis-Boire, que analisou o relatório. "Existem muitos malwares mal escritos. Aqui vemos a qualidade esperada de uma nação com um grande complexo militar-industrial."De acordo com Marschalek, o Babar "não é muito sofisticado", mas tem um alcance muito específico e é um "software ótimo, muito melhor do que os 'produtos' que um analista de malwares vê diariamente".Em outras palavras, parece que temos provas de que a França também entrou no negócio de espionagem.Tradução: Ananda Pieratti
