Согласно опубликованной информации, после установки угрозы на целевой машине с помощью эксплойтов из арсенала ЦРУ, вредоносная программа сканирует видимые точки доступа WI-Fi и с определенной периодичностью записывает идентификатор ESS, MAC адрес и силу сигнала беспроводной сети.
Чтобы произошел сбор данных, целевая машина даже не должна быть подключена к точке доступа. Единственное условие - наличие модуля связи Wi-Fi. Если устройство подключено к Интернету, вредоносная программа автоматически пытается использовать базы данных геолокации Google и Microsoft для определения местоположения устройства и сохранения его координат совместно с временной меткой.
Собранная информация о местоположении сохраняется в зашифрованном виде для последующего применения. Сама вредоносная программа не передает эти данные на сервера ЦРУ. Вместо этого оператор должен самостоятельно извлекать данные с устройства, используя отдельные эксплойты и бэкдоры из коллекции ЦРУ.
Проект ELSA позволяет создавать закладку с возможностями гибкой настройки интервала выборки, максимального размера файла журнала и методом вызова. Дополнительное программное обеспечение (использующее общедоступные геолокационные БД Google и Microsoft) преобразуют необработанную информацию из журналов в систематизированные геолокационные данные, позволяющие создать профиль отслеживания целевого устройства.
Угрозы безопасности
• Поддельный домен активации Windows распространял вредоносный код через PowerShell
• Отчет Digitain: ChatGPT Atlas, Google Chrome и Vivaldi — одни из худших браузеров с точки зрения конфиденциальности
• Запуск современного вредоносного ПО на Windows XP – эксперимент
• Google закроет функцию отчетов об утечках в даркнете в январе 2026 года
• Вредоносное ПО Cellik для Android создает зараженные версии приложений из Google Play
• Apple устранила две уязвимости нулевого дня, которые использовались в таргетированных атаках