Eρευνητές ασφάλειας κατάφεραν να εντοπίσουν και να αναλύσουν ένα δείγμα εξελιγμένου λογισμικού κυβερνοκατασκοπείας με την κωδική ονομασία BaBar, το οποίο φέρεται να αναπτύχθηκε από Γαλλική Υπηρεσία Πληροφοριών.
Στα έγγραφα του CSEC, τα οποία δημοσιεύθηκαν από την εφημερίδα Le Monde και αργότερα από το Der Spiegel, το BaBar αναφέρεται ως μέρος μιας κρατικά επιχορηγούμενης επιχείρησης κατασκοπείας, που ξεκίνησε από γαλλική υπηρεσία πληροφοριών.
Ο σκοπός του κακόβουλου λογισμικού είναι η υποκλοπή πληροφοριών μέσω της παρακολούθησης των πληκτρολογήσεων των χρηστών, η λήψη screenshots, καθώς και η καταγραφή ήχου από συνομιλίες που πραγματοποιούνται μέσω Skype και Yahoo Μessenger.
Ερευνητές ασφαλείας των εταιρειών GData και Cyphort, σε συνεργασία με την αναλύτρια ασφάλειας Marion Marschalek, δημοσίευσαν εκθέσεις που αποδεικνύουν ότι το δείγμα του κακόβουλου λογισμικού που είχαν εντοπίσει και ανέλυαν για μεγάλο χρονικό διάστημα, ήταν στην πραγματικότητα το άπιαστο malware BaBar,
το οποίο είχε αναζητηθεί και από την κοινότητα ασφάλειας το Μάρτιο του 2014, όταν αποκαλύφθηκαν πληροφορίες για την επιχείρηση Operation Snowglobe για πρώτη φορά.Σύμφωνα με την Marschalek, το Babar δεν διαθέτει ισχυρά μέτρα που να αποτρέπουν την ανάλυσή του. «Δεν προστατεύεται από κάποιο runtime packer ή crypter, δεν διεθέτει μέτρα ανίχνευσης sandbox ή anti-debugging, ενώ οι περισσότερες συμβολοσειρές χαρακτήρων εμφανίζονται ως απλό κείμενο», αναφέρει η αναλύτρια.
Η Cyphort προσθέτει περισσότερες πληροφορίες σχετικά με το κακόβουλο εργαλείο αποκαλύπτοντας δύο C&C servers, οι οποίοι εντοπίζονται στο configuration file. Ένας από αυτούς είναι μια νόμιμη ιστοσελίδα ταξιδιωτικού γραφείου της Αλγερίας, η οποία εξακολουθεί να είναι οnline κατά τη στιγμή της γραφής, καθώς και ένα τουρκικό domain, το οποίο εμφανίζει σφάλμα 403 (Δεν επιτρέπεται/Απαγορεύεται η πρόσβαση).