Elsa - слежка за перемещением.
В недавней утечке wikileaks Vault 7 описан достаточно интересный инструмент ЦРУ, который используется для слежки за пользователями заражённых устройств.
Как правило, вирусы крадут данные с жёсткого диска или шифруют данные с целью Вашего выкупа у мошенников. Это очевидный вектор применения вредоносного ПО. Но если личных данных на компьютере нет, то узнать информацию личного характера о владельце зачастую оказывается очень проблематичной миссией. В этот раз ситуация немного другая: используя приёмы, которые хакеры обычно не используют, ЦРУ удаётся отслеживать перемещение зараженных устройств.
Вирус направлен на устройства под управлением Windows. Для сбора необходимых данных гаджет должен быть оборудован wi-fi. Сейчас практически все переносные устройства оснащены wi-fi модулем. В основном заражению подвергаются планшеты и ноутбук, а в этом секторе Windows активно развивается и имеет большую долю рынка.
Благодаря тому, что для определения местоположения не используется gps модуль, а нужен только wi-fi, вредоносную активность намного труднее обнаружить. Также отсюда вытекает, что устройство может быть без gps вообще. Ещё одна особенность вируса: он не имеет механизма самовоспроизводства или любые другие компоненты, которые могут быть расценены как вредоносное ПО. Всё это обусловлено в первую очередь тем, что это не инструмент для массового использования. ЦРУ выбирает конкретных жертв и тщательно продумывает пути заражения в каждом конкретном случае. Эффективность такого инфицирования гораздо выше, а обнаружить саму вредоносную часть, которая в силу своей локальной распространенности ещё не попала ни в какие антивирусные базы, становиться очень нетривиальной задачей.
Определение местоположения жертвы происходит через сбор данных о досягаемых wi-fi точках. Причём нет необходимости к ним подключаться, достаточно только, чтобы антенна устройства могла уловить сигнал от них. Вирус запоминает уникальную информацию всех точках доступа: MAC адрес, SSID, сила сигнала. После того, как устройство подключается к интернету, вирус, используя дынные из общедоступных баз wi-fi сетей, определяет приблизительное местоположение жертвы. Это возможно благодаря тому, что у в интернете есть достаточно подробные базы с местами размещнения wi-fi точек и их SSID. Они используются, например, google для реализации функции определения местоположения в браузере.
Тут есть ещё одна интересная особенность elsa - вирус сразу не отправляет все собранные данные, а всё храниться в локальных логах. Это не только усложняет задачу обнаружения его в системе, но также делает невозможным определения владельца через анализ активности или кода. Для получения доступа к собранным данным используется другой бэкдор или прямой доступ к компьютеру жертвы.