导语:ELSA原理很简单,它通过扫描附近公共WiFi的名字,和全球公共WiFi位置数据库进行匹配,从而获取目标电脑在现实世界的位置。
按照每周一次爆料惯例,维基解密这两天又公布了一批CIA Vault7机密数据。这一次,他们公布的是一款专门追踪Windows电脑地理位置的恶意软件,名为ELSA。
ELSA的原理不难,它通过扫描附近公共WiFi的名字,和全球公共WiFi位置数据库进行匹配,从而获取电脑在现实世界的位置。
这个CIA项目包括两大块:处理组件(攻击者使用)、植入目标电脑的恶意组件。
ELSA是如何工作的?
攻击者需要使用CIA漏洞对目标电脑安装恶意软件,保持对方设备的访问权限,才能使用ELSA。
稍后,在已感染电脑上,恶意组件会自动扫描附近的WiFi,并定期记录详细数据,比如ESSID、MAC地址、信号强度等。
收集数据过程中,ELSA不需要目标电脑联网,它只需要设备开启WiFi即可。维基解密称,
目标电脑联网后,ELSA会自动尝试使用Google或微软的公共地理位置数据库和设备进行匹配,并存储经纬度和具体时间。
这些收集的数据,被加密存储在目标电脑上,等待以后需要时调用。
ELSA不会主动传输这些数据,如果攻击者有需要,可以使用CIA控制程序自己下载,他们解密日志数据后便能进行进一步的分析。
ELSA还能针对目标电脑对植入恶意组件进行调整,比如采样间隔、日志文件的最大容纳、持久性控制方法等。
过去的泄漏内容
维基解密上周公布的是一个可以入侵物理隔离环境下电脑的机密项目,叫做野蛮袋鼠(Brutal Kangaroo),它不需要攻击者做任何接触,远程就能操作。
自今年3月份以来,维基解密总共披露了12批CIA Vault7数据,除了上述两个外,还包括:
Weeping Angel:专门破解三星智能电视
Fine Dining:伪造系列恶意软件集合
Grasshopper:Windows恶意木马制造工具
DarkSeaSkies:针对iPhone和Mac的攻击工具
Scribble:Office文档的信标工具
Archimedes:中间人攻击工具
AfterMidnight和Assassin:Windows木马框架
Athena:和美国公司共同开发的木马框架
Pandemic:把原文件替换为木马的工具
Cherry Blossom:可破解数百款品牌路由器的恶意攻击框架