Casper the Friendly GhostNeuer Staatstrojaner nach Bunny und Babar, auch von der französischen Regierung?

Casper the Friendly Ghost (Symbolbild). Bild: Thomas Galvez. Lizenz: Creative Commons BY 2.0.

Vor zwei Wochen berichteten wir über einen neuen Trojaner mit dem Namen „Babar der Elefant“, den der kanadische Geheimdienst CSEC der französischen Regierung zuschreibt. Joan Calvet vom slowakischen Antiviren-Hersteller ESET berichtet jetzt über Casper-Malware: Neuer Spionage-Cartoon nach Babar und Bunny.

In diesem Artikel geht es um eine weitere Schadsoftware, von der wir glauben, dass sie von den gleichen Entwicklern hergestellt wurde wie Babar und Bunny. Diese Komponente wird von ihren Autoren „Casper“ genannt – vermutlich ebenfalls nach einer bekannten Zeichentrickfigur.

Im April 2014 griff Casper syrische Nutzer an, was die Malware zu der bislang neuesten Variante der bekannten Cartoon-Gruppe macht. Für den Angriff nutzten Caspers Entwickler Zero Day Exploits in Adobe Flash, die – überraschenderweise – auf einer syrischen Regierungswebseite gehostet wurden. Bei Casper handelt es sich um ein hochentwickeltes Aufklärungs-Tool, das sehr darum bemüht ist, auf der angegriffenen Maschine unentdeckt zu bleiben. Besonders interessant sind die Strategien, die speziell gegen Antiviren-Programme angewendet werden.

Das Fazit:

Wie bereits erklärt, sind wir der Überzeugung, dass Bunny, Babar und Casper von der gleichen Gruppe entwickelt wurden. Die detaillierte Babar-Analyse in den CSEC-Folien von 2009 deutet darauf hin, dass professionelle Leute am Werk sind, die im Bereich der Spionage keine Anfänger sind. Die Nutzung von Zero Day Exploits ist ein weiterer Hinweis darauf, dass die Casper-Autoren einer mächtigen Organisation angehören. Und die enge Zielgruppe, bestehend aus syrischen Nutzern, deutet auf ein Interesse an der dortigen Politik hin.

Nichtsdestotrotz haben wir in Casper selbst keine Beweise gefunden, die auf ein bestimmtes Land verweisen – insbesondere wurden in den Binärprogrammen keine Hinweise gefunden, die für eine französische Herkunft sprechen, wie es vom CSEC in Bezug auf Babar suggeriert wird.

casper-animal-farm-2Update: Das „Global Research & Analysis Team“ von Kaspersky Labs erweitert die Liste noch: Animals in the APT Farm

  • Bunny – an old „validator“-style Trojan used with a PDF zero-day attack in 2011.
  • Dino – a full-featured espionage platform.
  • Babar – the most sophisticated espionage platform from the Animal Farm group.
  • NBot – malware used in a botnet-style operation by the group. It has DDoS capabilities.
  • Tafacalou – a validator-style Trojan used by the attackers in recent years. Confirmed victims get upgraded to Dino or Babar.
  • Casper – the most recent „validator“-style implant from the Animal Farm group.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

3 Ergänzungen

Ergänzung an cervo Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.