Согласно опубликованной информации, после установки угрозы на целевой машине с помощью эксплойтов из арсенала ЦРУ, вредоносная программа сканирует видимые точки доступа WI-Fi и с определенной периодичностью записывает идентификатор ESS, MAC адрес и силу сигнала беспроводной сети.
Чтобы произошел сбор данных, целевая машина даже не должна быть подключена к точке доступа. Единственное условие - наличие модуля связи Wi-Fi. Если устройство подключено к Интернету, вредоносная программа автоматически пытается использовать базы данных геолокации Google и Microsoft для определения местоположения устройства и сохранения его координат совместно с временной меткой.
Собранная информация о местоположении сохраняется в зашифрованном виде для последующего применения. Сама вредоносная программа не передает эти данные на сервера ЦРУ. Вместо этого оператор должен самостоятельно извлекать данные с устройства, используя отдельные эксплойты и бэкдоры из коллекции ЦРУ.
Проект ELSA позволяет создавать закладку с возможностями гибкой настройки интервала выборки, максимального размера файла журнала и методом вызова. Дополнительное программное обеспечение (использующее общедоступные геолокационные БД Google и Microsoft) преобразуют необработанную информацию из журналов в систематизированные геолокационные данные, позволяющие создать профиль отслеживания целевого устройства.
Угрозы безопасности
• Глобальный кризис кибербезопасности: Из-за уязвимости в Microsoft Exchange было взломано более 60 тысяч организаций
• Доверяете бесплатным VPN? Утекли данные 21 миллиона пользователей VPN-сервисов
• Популярное приложение Android поставляло вредоносное содержимое миллионам пользователей
• Повторные взломы форума IObit: Злоумышленники решили поиздеваться
• Malwarebytes был взломан хакерами, которые атаковали SolarWinds
• Форум IObit взломан с целью распространения вредоносного ПО