Зверь по имени ELSA
WikiLeaks продолжает публикацию серии документов Vault-7, в которых содержатся данные о глобальной программе ЦРУ по взлому электронных носителей информации, в том числе телефонов.
28 июня организация опубликовала руководство пользователя к ELSA. Так называется вредоносное программное обеспечение, которое используется для отслеживания устройств с поддержкой Wi-Fi, работающих под управлением Microsoft Windows. Эта программа позволяет ЦРУ собирать данные о местоположении устройства и отслеживать привычки пользователя.
Программа была создана в 2012 году Группой инженеров-разработчиков (EDG) — подразделением, которое занимается созданием инструментов взлома ЦРУ и входит в Центр киберразведки (CCI).
ELSA отслеживает геолокацию устройств с поддержкой Wi-Fi и позволяет получать информацию об их местонахождении, используя подключение к интернету. Для этого достаточно, чтобы устройство находилось в зоне доступа точки Wi-Fi. Таким образом, геолокация осуществляется без применения GPS.
ELSA работает путём сканирования ближайших сетей и сбора их информации ESS, которая уникальна для каждой сети. Данные ESS включают в себя MAC-адрес компьютера, идентификатор сети SSID и уровень сигнала. Эта информация хранится в локальном файле, который зашифрован с помощью 128-битного ключа AES.
Когда же устройство подключено к интернету, ELSA использует общедоступные базы геолокации от Google или Microsoft для отслеживания его местоположения, сохраняя его координаты в зашифрованном виде на устройстве, и ЦРУ может позднее их извлечь.
ELSA настраивается в соответствии со спецификой цели. Например, может уточняться интервал выборки местонахождения цели, размер файла журнала и метод сохранения зашифрованной информации.
Способ последующего извлечения данных — главное отличие от того, что стало известно из предыдущих утечек ЦРУ, опубликованных в Vault-7. ELSA не передаёт полученную информацию на серверы ЦРУ — она должна считываться с устройства посредством других хакерских инструментов, используемых ЦРУ, но что это за инструменты, в инструкции не сказано.
Согласно той же инструкции, защиту от методов ELSA могут обеспечить антивирусы Kaspersky и Rising.
Распространяется ELSA в виде DLL — динамической подключаемой библиотеки, которая позволяет многократное использование различных приложений (например, к DLL относятся драйверы). DLL позволяет операционным системам и программам работать быстрее и занимать меньше места.
Для выполнения установки ELSA, как и библиотеки DLL, использует средство командной строки — Microsoft Windows RegSvr32.
«Жестокий кенгуру» и другие
Серию публикаций Vault-7 Wikileaks начала в феврале 2017 года. В ходе этих публикаций, посвящённых программам ЦРУ для взлома электронных устройств, была обнародована информация о существовании в ЦРУ подразделения, которое занимается разработкой вредоносного программного обеспечения для устройств iPhone, Google и Samsung.
Ранее в рамках Vault-7 уже была опубликована информация о ряде значимых проектов ЦРУ, используемых для хакерских атак. В частности, о таких, как «Пандемия» — программа, которая позволяет заражать компьютеры удалённых пользователей в процессе передачи файлов внутри локальной сети; «Цветение вишни» (CherryBlossom) — программа, направленная на отслеживание интернет-активности пользователей; «Жестокий кенгуру» (Brutal Kangaroo) — программа, способная проникать в компьютерную сеть организации без прямого доступа, «Архимед» (Archimedes) — программа, позволяющая совершать кибератаки в рамках локальных сетей, и ряд других.
Разрушительная некомпетентность
Утечка этих документов стала возможной благодаря наличию брешей в системе кибербезопасности ЦРУ.
«Это исторический пример разрушительной некомпетентности — создать подобный арсенал и хранить его в одном месте без защиты», — заявил во время пресс-конференции, посвящённой их публикации, основатель WikiLeaks Джулиан Ассанж
В ЦРУ отказались комментировать вопрос подлинности этих документов, но, по заявлению представителя спецслужбы Хезер Хониак, такая информация не только ставит под угрозу проведение операций, но и предоставляет противникам США возможности и данные для нанесения вреда.
Пресс-секретарь Белого дома Шон Спайсер всего через несколько часов после пресс-конференции Ассанжа также выступил с заявлением.
«Правительство США придерживалось определённой позиции относительно Джулиана Ассанжа в прошлом, и я не вижу причин что-то тут менять. Он ослабил и подорвал нашу национальную безопасность», — заявил Спайсер.