Согласно опубликованной информации, после установки угрозы на целевой машине с помощью эксплойтов из арсенала ЦРУ, вредоносная программа сканирует видимые точки доступа WI-Fi и с определенной периодичностью записывает идентификатор ESS, MAC адрес и силу сигнала беспроводной сети.
Чтобы произошел сбор данных, целевая машина даже не должна быть подключена к точке доступа. Единственное условие - наличие модуля связи Wi-Fi. Если устройство подключено к Интернету, вредоносная программа автоматически пытается использовать базы данных геолокации Google и Microsoft для определения местоположения устройства и сохранения его координат совместно с временной меткой.
Собранная информация о местоположении сохраняется в зашифрованном виде для последующего применения. Сама вредоносная программа не передает эти данные на сервера ЦРУ. Вместо этого оператор должен самостоятельно извлекать данные с устройства, используя отдельные эксплойты и бэкдоры из коллекции ЦРУ.
Проект ELSA позволяет создавать закладку с возможностями гибкой настройки интервала выборки, максимального размера файла журнала и методом вызова. Дополнительное программное обеспечение (использующее общедоступные геолокационные БД Google и Microsoft) преобразуют необработанную информацию из журналов в систематизированные геолокационные данные, позволяющие создать профиль отслеживания целевого устройства.
Угрозы безопасности
• Стэнфорд: ИИ-чат-боты соглашаются с пользователями на 49% чаще людей
• Банковские трояны стали главной угрозой для Android в начале 2026 года
• Anthropic случайно раскрыла исходный код Claude Code в npm
• Злоумышленники внедрили троян в npm-пакет Axios со 100 млн загрузок
• Apple добавила предупреждение в Терминале macOS для защиты от атак ClickFix
• iPhone под угрозой – обновлённый эксплойт-фреймворк Coruna связан с Operation Triangulation