1

Ciberespionaje podría estar relacionado con Agencia de Inteligencia de Francia

Una colección de troyanos informáticos que se han utilizado desde 2009 para robar datos de agencias gubernamentales, contratistas militares, organizaciones de medios de comunicación y otras empresas está ligada al malware “ciberespionaje”, posiblemente creado por los servicios de inteligencia franceses. 

Investigadores de varias empresas antivirus han encontrado vínculos entre los programas de malware, que ellos llaman Babar, Bunny, Casper, Dino, OTNB y Tafacalou. Algunos comparten los mismos servidores de comando y control, y algunos utilizan las mismas implementaciones para la inclusión proceso de Windows, el proceso de listas negras o hash exportación.

En enero, la revista alemana Der Spiegel publicó varios documentos secretos sobre las actividades de malware de la Agencia de Seguridad Nacional de Estados Unidos y sus socios más cercanos, los organismos de inteligencia del Reino Unido, Canadá, Australia y Nueva Zelanda, ​​colectivamente conocidos como Alianza de Inteligencia los Cinco Ojos. 

Uno de esos documentos , que era parte de los archivos filtrados a periodistas por parte del ex contratista de la NSA Edward Snowden, fue una presentación de la seguridad en las comunicaciones de Canadá (ESCI), de fecha 2011, que describe una operación de ciberespionaje extranjera apodado Snowglobe. 

ESCI, una agencia de inteligencia del gobierno de Canadá, llamó el programa troyano utilizado como la operación “Snowglobe,” pero señaló que su nombre interno era Babar, el nombre de un cuento y serie de televisión infantil francesa. También tomó nota de otras conexiones francesas, como el nombre de usuario del desarrollador del software malicioso “titi”, que es el diminutivo francés para Thiery; el uso de kilooctet (ko) en lugar de kilobytes (KB), que es típico de la comunidad técnica francesa; y la opción de idioma del equipo de desarrollo de ser “fr_FR.” 

De acuerdo con la ESCI, las víctimas de Babar también coincidieron con las prioridades francesas de inteligencia: las organizaciones de investigación iraníes de ciencia y tecnología, asociaciones financieras europeas, organizaciones de medios de habla francesa y organizaciones en las antiguas colonias francesas como Argelia y Costa de Marfil. 

“Escnna evalúa, con certeza moderada la operación Snowglobe que debe ser un esfuerzo en la red informática patrocinada por el estado y presentada por una agencia de inteligencia francesa”, concluyó la ESCI en la presentación, que fue compartida por todos los socios de “los cinco ojos”. 

En febrero, los investigadores de la empresa de seguridad Cyphort, identificaron y analizaron un troyano que roba información, cuya nombre es Babar64. El programa de malware fue capaz de registrar pulsaciones de teclas, hacer capturas de pantalla, la captura de flujos de audio de las aplicaciones de voz sobre IP, recogida de datos del portapapeles, y más. Los investigadores Cyphort encontraron similitudes con un programa de malware mucho más viejo, que habían apodado evilbunny. 

“Asumimos que el mismo autor está detrás de ambos programas espías”, dijeron en una entrada de blog . Los investigadores de seguridad de la firma de antivirus ESET publicaron un informe sobre otro programa troyano relacionados con Babar y evilbunny que denominaron Casper. El programa se distribuyó en abril 2014 de un sitio web operado por el ministerio de justicia sirio utilizando Flas Player en dos días; toda una hazaña.

“Estamos seguros de que el mismo grupo desarrolló Bunny, Babar y Casper,” afirmaron los investigadores de ESET, quienes además agregaron en su entrada de blog que Casper no contenía ninguna pista que apunte a un origen francés, pero el uso de exploits de día cero indica que fue creada por una organización poderosa, dijeron. 

Finalmente investigadores de Kaspersky Lab completaron el cuadro con tres malware más programadas llamados Dino, OTNB y Tafacalou, que creen que fueron creados por el mismo grupo que Bunny, Babar y Casper. Los investigadores de Kaspersky han bautizado esto como Granja Animal y creer que ha estado activo desde al menos 2009. 

A través de los años, el grupo estaba destinada a organizaciones gubernamentales, contratistas militares, organizaciones de ayuda humanitaria, empresas privadas, activistas, periodistas y organizaciones de medios de comunicación, los investigadores de Kaspersky dijo en su blog  que Tafacalou es un troyano de primera etapa que los atacantes utilizan para comprobar si los ordenadores infectados pertenecen a sus blancos antes de implementar el Dino, que es más potente.

También hay casos de ciberespionaje con Babar. Kaspersky ha visto ataques con Tafacalou en Siria, Irán, Malasia, EE.UU., China, Turquía, Holanda, Alemania, Gran Bretaña, Rusia, Suecia, Austria, Argelia, Israel, Irak, Marruecos, Nueva Zelanda y Ucrania. 

Si bien los investigadores no llegan a asociar Animales de Granja con ningún país específico o agencia de inteligencia, señalan que Tafacalou podría ser una variación francesa de la frase “por lo que está haciendo calor” en occitano, una lengua hablada en el sur de Francia, Mónaco y algunas zonas de Italia y España.

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.