WikiLeaks виклала документацію по ELSA, інструменту ЦРУ для стеження за ноутбуками з WiFi

28 червня 2017 року WikiLeaks опублікувала чергову порцію документів про хакерських інструментах ЦРУ. На цей раз розсекречена 42-сторінкове керівництво користувача по проекту ELSA (pdf). Ця система призначена для визначення фізичного місцезнаходження комп’ютерів під Windows 7 (32 і 64 біт), які оснащені модулем WiFi.

Документ версії 1.1.0 датований 27 вересня 2013 року, тобто це відносно старе керівництво. Невідомо, чи використовує ЦРУ зараз такі методи або вони впровадили яку-небудь більш просунуту технологію.

Система працює дуже просто. Вона записує ідентифікатори точок доступу WiFi, які знаходяться біля комп’ютера жертви, і передають метадані сторонні бази даних, звідки отримують координати цих точок доступу. На підставі отриманої інформації ELSA обчислює широту, довготу і вказує точність геолокації.

В документації сказано, що відповідні бази даних з точки доступу працюють для підтримки сервісів геолокаціі в браузерах Firefox, Opera, Chrome і Internet Explorer, у відповідності зі специфікаціями W3C. Точність геолокації безпосередньо залежить від точності інформації в цих сторонніх базах. Для перевірки, наскільки покриття БД та інформація про координати хотспотів відповідають реальності, керівництво рекомендує заїхати в потрібний район, відкрити maps.google.com у браузері — і натиснути кнопку для визначення свого місцезнаходження. Якщо браузер правильно визначає координати агента по WiFi, значить, покриття хороше.

На момент написання керівництва браузери Firefox, Opera і Chrome використовували для геолокації базу Google, а IE відправляв запити на сервери Microsoft.

ELSA опитує ці сервіси по HTTPS і зберігає результат у зашифрованому файлі з використанням 128-бітного шифрування AES.

Ключовим елементом системи ELSA є закладка, яку слід встановити на комп’ютер під Windows 7, що належить об’єкту стеження. Там DLL впроваджується в який-небудь існуючий процес. Надалі троян може або сам опитувати легальні сторонні БД для геолокаціі, або повертати оператору сирі дані, так що він здійснює геолокацію самостійно.

Троян збирає системну інформацію про точки доступу WiFi в діапазоні згідно з розкладом, встановленим оператором. Збір даних можливий навіть у тому випадку, якщо комп’ютер жертви не встановив в реальності з’єднання ні з однією точкою доступу — Windows все одно відстежує навколишні хотспоти, і ця інформація доступна трояну. Таким чином, стеження за переміщеннями комп’ютера жертви відбувається безперервно.

У налаштуваннях можна вказати, що він самостійно обчислює координати, як тільки жертва підключається до Інтернету. Потім збережений лог передається на комп’ютер оператора. Для маскування троян за замовчуванням не намагається самостійно з’єднатися з комп’ютером оператора, а лише пасивно записує дані на диск. Для отримання лода оператор повинен сам зайти на комп’ютер жертви, використовуючи інші бекдори і експлойти — і забрати лог.

У налаштуваннях вказується максимальний розмір лода. По досягненні межі старі записи зникають, поступаючись місцем більш свіжим записів. Лог постійно зберігається на диску, так що інформація не втрачається під час перезавантаження комп’ютера.

Крім базових метаданих WiFi (тобто назв точок доступу), троян можна налаштувати для збору додаткових метаданих, таких як MAC-адреси, ідентифікатор SSID і інформація про рівні сигналу з кожної точки доступу. Це дозволяє більш точно обчислювати координати жертви.

На жаль, WikiLeaks, як зазвичай, не опублікувала самі файли шкідників, а тільки документацію для програми.

Фахівці ЦРУ підкреслюють, що стеження через WiFi має певні переваги, тому що не вимагає наявності на пристрої модуля GPS або модуля стільникового зв’язку, достатньо звичайного інтерфейсу WiFi, який сьогодні присутній практично в кожному пристрої. По своїй природі, система ELSA краще всього підходить для стеження за ноутбуками, тому що постійно моніторити координати стаціонарного комп’ютера немає сенсу, а на смартфонах не використовується Windows 7. Очевидно, для iOS і Android у ЦРУ розроблені інші закладки, так і стежити набагато простіше по метаданих від оператора зв’язку.

Розробником інструменту є підрозділ ЦРУ Engineering Development Group. Це підрозділ входить до складу управління DDI (Directorate for Digital Innovation), див. організаційну діаграму ЦРУ. Воно займається розробкою, тестуванням та супроводженням програмного забезпечення ЦРУ.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *