Как и прежде, Wikileaks получает информацию из архива секретных документов, к которым хакерам удалось получить доступ. Известно, что эти данные, а также информацию об используемых ЦРУ хакерских инструментах передал ресурсу неизвестный источник еще весной текущего года.
Серия публикаций, которая размещается командой Wikileaks, носит название Vault 7. В каждой из них рассказывается об одной технике или одном инструменте, который используют спецслужбы для слежки.
Новую публикацию организация посвятила инструменту, известному под названием ELSA. Он по сути своей является малварью, которая может использоваться для того, чтобы следить за пользователями и устанавливать их реальное местоположение на основе данных Wi-Fi устройств. Такой способ слежки применяется, например, по отношению к тем пользователям, которые используют ноутбуки, работающие под управлением операционной системы Windows.
Wikileaks имеют в своем распоряжении подробную инструкцию о том, как работает инструмент. Всего в инструкции имеется 42 страницы. На них объясняется, что именно представляет собой малварь и как она используется для слежки.
Как и любой другой зловред, ELSA попадает на устройство пользователя благодаря эксплуатации уязвимостей, содержащихся в самой ОС или же используемых пользователем программных продуктов.
После того, как малварь проникает на компьютер жертвы, она приступает к сбору необходимых данных. В первую очередь анализируется информация о ближайших точках доступа Wi-Fi. Сканирование точек осуществляется для того, чтобы собрать как можно больше данных ESSID, которые для каждого конкретного пользователя являются уникальными. Они включают в себя MAC-адрес, SSID и даже силу сигнала. Вся эта информация впоследствии подвергается шифрованию. Для этого используется AES-128.
Как только владелец зараженного компьютера выходит в Интернет, малварь сравнивает имеющуюся в своей базе информацию с информацией, собранной со сторонних баз геолокационных данных. Такие базы довольно распространены. Их постоянно используют такие крупные компании, как Microsoft и Google для того, чтобы, например, поддерживать геолокационные API браузеры. Аналогичная функциональность предусмотрена сегодня почти в любом современном и популярном веб-обозревателе.
С помощью полученных данных, следуя подробной инструкции, сотрудник ЦРУ без труда может отследить реальное местоположение своей жертвы и выяснить схему его передвижения. Удаленное подключение к компьютеру жертвы осуществляется с помощью эксплуатации уязвимостей и загрузки на ПК вредоносного кода, который действует скрыто.
Такие инструменты для слежки довольно сложные, но можно предположить, что в арсенале ЦРУ есть много подобных инструментов, которые помогают им добиваться поставленных целей.