Elsa – слежка за перемещением
В недавней утечке wikileaks Vault 7 описан достаточно интересный инструмент ЦРУ, который используется для слежки за пользователями заражённых устройств.
Обычно вирусы крадут данные с жёсткого диска или шифруют данные с целью выкупа. Это очевидный вектор применения вредоносного ПО. Но если личных данных на компьютере нет, то узнать информацию личного характера о владельце зачастую оказывается достаточно проблематичной задачей. В этот раз ситуация иная: используя приёмы, которые хакеры обычно не используют, ЦРУ удаётся отслеживать перемещение зараженных устройств.

Вирус нацелен на устройства под управлением Windows. Для сбора необходимых данных гаджет должен быть оборудован wi-fi. Сейчас практически все переносные устройства оснащены wi-fi модулем. В основном заражению подвергаются планшеты и ноутбук, а в этом секторе Windows активно развивается и имеет большую долю рынка.

Благодаря тому, что для определения местоположения не используется gps модуль, а нужен только wi-fi, вредоносную активность труднее засечь. Также отсюда вытекает, что устройство не обязательно должно быть оснащено gps вообще. Ещё одна особенность вируса: он не имеет механизма самовоспроизводства или любые другие компоненты, которые могут быть расценены как вредоносное ПО.

Всё это обусловлено в первую очередь тем, что это не инструмент для массового использования. ЦРУ выбирает конкретных жертв и тщательно продумывает пути заражения в каждом конкретном случае. Эффективность такого инфицирования гораздо выше, а обнаружить саму вредоносную часть, которая в силу своей локальной распространенности ещё не попала ни в какие антивирусные базы, становиться очень нетривиальной задачей.
Определение местоположения жертвы происходит через сбор данных о досягаемых wi-fi точках. Причём нет необходимости к ним подключаться, достаточно только, чтобы антенна устройства могла уловить сигнал от них. Вирус запоминает уникальную информацию всех точках доступа: MAC адрес, SSID, сила сигнала. После того, как устройство подключается к интернету, вирус, используя дынные из общедоступных баз wi-fi сетей, определяет приблизительное местоположение жертвы. Это возможно благодаря тому, что у в интернете есть достаточно подробные базы с местами размещнения wi-fi точек и их SSID. Они используются, например, google для реализации функции определения местоположения в браузере.

Тут есть ещё одна интересная особенность elsa – вирус сразу не отправляет все собранные данные, а всё храниться в локальных логах. Это не только усложняет задачу обнаружения его в системе, но также делает невозможным определения владельца через анализ активности или кода. Для получения доступа к собранным данным используется другой бэкдор или прямой доступ к компьютеру жертвы.

После обнародования данных, стало очевидно, что у ЦРУ разрабатывает далеко не тривиальные вирусы. Сейчас мы узнали про elsa, это мощное и нестандартное средство для слежки за своими жертвами. Если бы данные об этой разработке не оказались у wikileaks, то, скорее всего, этот вирус ещё бы очень долго оставался незамеченным.

По сути, его и вирусом назвать-то сложно, ведь со стороны вся его активность выглядит абсолютно нормальной. Поскольку общественность всё же прознала про эти секретные разработки, невольно всплывает вопрос, нормально ли это, что слежка государством за людьми стала обыденным делом?