安全公司ESET的研究人员对代号为“动物农场”的APT黑客组织开发的高级间谍平台Dino进行了深入细致的分析。2014年3月,一家法国出版物发布了斯诺登泄露的幻灯片,揭示了AnimalFarm使用的一段恶意软件。这张幻灯片属于加拿大通信安全局(CSE),描述了代号为“雪球行动”的任务。该文件披露了行动中使用的一些工具和目标群体名单,还提到行动背后的组织很可能得到法国情报机构的支持。自幻灯片曝光以来,许多安全公司已经获得了与CSE在文档中描述的类似的有效恶意软件样本和代码。在过去的几个月里,来自ESET、Cyphort和GDATA的专家们发表了多篇关于Babar、EvilBunny(兔兔)和Casper的文章。AnimalFarm使用的恶意软件系列包括NBot、Tafacalou(TFC/Transporter)和Dino。根据ESET的说法,Dino是一种高级后门,它使用不同的模块来实现其功能。它的主要目的似乎是从受感染的系统中窃取文件。ESET分析的样本在2013年被用于伊朗企业目标。ESET研究员琼·卡尔维(JoanCalvi)已经关注动物农场几个月,他在一篇博文中指出,Dino可能是动画系列♂中的一只宠物恐龙。值得一提的是,专家认为Babar这个名字的灵感可能来自于法国儿童读物中虚构的大象,而Casper则可能源于卡通系列《鬼马小精灵》的主人公。该安全公司表示,Dino最初的感染方式尚未确定,但怀疑它是由另一个程序安装的。在3月份关于动物农场APT的博客文章中,卡巴斯基实验室声称Tafacalou是该黑客组织另外两个更高级的间谍平台Babar和Dino的入口点。一旦系统被感染,Dino可以根据指令获取被感染主机的系统信息,执行Windows批处理命令,搜索指定文件,将文件上传到命令与控制服务器(C&C)或从(C&C)下载文件。恶意软件操作员还可以指定何时执行命令,并从系统中卸载恶意软件,几乎不会留下任何痕迹。专家发现,Dino与AnimalFarm恶意软件家族中的其他威胁共享多段代码,清楚地表明了它们之间的联系。此外,Dino提供了进一步的证据,证明这些恶意软件家族的开发者是讲法语的。一些较新的AnimalFarm恶意软件,例如侦察工具Casper,将语言标志设置为英语。不过在Dino中,语言代码还是1036,也就是法语。值得注意的是,除非手动设置,否则编译器会自动将此标识符设置为与开发者主机相同。Calvi指出,虽然法语语言代码标识符可能是故意的,但更有可能是开发人员在编译Dino时忘记更改语言标识符的值。Dino开发人员说法语的另一个证据是包含单词“arithmetique”的文件路径,法语相当于英语单词“arithmetic”。研究人员强调,虽然Dino看起来是由专业和经验丰富的开发人员创建的,但他们并没有在反分析功能上投入太多精力,这与Casper等其他AnimalFarm恶意软件不同。
