В среду, 28 июня, WikiLeaks опубликовал очередную порцию секретных документов ЦРУ в рамках проекта Vault 7. На сайте появилась 42-страничная инструкция по использованию инструмента ELSA, позволяющего отслеживать пользователей Windows-устройств с поддержкой Wi-Fi на основе данных расширенной зоны обслуживания (Extended Service Set, ESS) или ближайших сетей Wi-Fi.
Согласно инструкции, настройка конфигурации вредоносного ПО ELSA осуществляется на основе окружения атакуемой цели с помощью инструмента PATCHER wizard, который генерирует полезную нагрузку ELSA (простой DLL-файл). Переменные окружения включают в себя архитектуру атакуемого компьютера (x86 или x64), желаемый режим (dllhost, svchost, rundll32 или appinit), желаемого провайдера (Microsoft / Google), желаемый максимальный размер файла реестра и пр.
После настройки конфигурации оперативник ЦРУ заражает ELSA атакуемое Windows-устройство с поддержкой Wi-Fi. Поскольку инструмент представляет собой вредоносное ПО, для его установки на атакуемую систему понадобятся дополнительные программы и эксплоиты.

Установившись на системе, ELSA начинает собирать данные о точках доступа Wi-Fi на основании установленного оперативником расписания. Сбор данных возможен даже в случае, если пользователь отключен от сети Wi-Fi. Вредонос сканирует ближайшие беспроводные сети, собирает уникальные данные ESS (MAC-адрес, SSID и сила сигнала) и сохраняет их в локальном файле, зашифрованном с помощью 128-битного ключа шифрования AES.
Когда пользователь подключается к интернету, ELSA берет собранные данные и обращается к сторонним базам данных для получения сведений о местоположении. Информация ESS привязана к географическому местоположению, поэтому позволяет определять, где находится цель.
Далее оперативник подключается к целевой системе и с помощью инструментов, использовавшихся для установки ELSA на компьютере, получают доступ к журналу вредоноса. Полученные данные расшифровываются и анализируются.

Источник: securitylab.ru