維基解密曝CIA新殺器:ELSA利用WiFi追蹤電腦地理位置

責(zé)任編輯:editor005

2017-06-29 11:46:25

摘自:E安全

維基解密指出,“如果[目標(biāo)設(shè)備]接入互聯(lián)網(wǎng),ElSA則會(huì)自動(dòng)嘗試?yán)脕?lái)自谷歌或者微軟的公共地理位置數(shù)據(jù)庫(kù)解析當(dāng)前設(shè)備所處的位置,并存儲(chǔ)經(jīng)度、緯度數(shù)據(jù)以及時(shí)間戳

 維基百科于美國(guó)時(shí)間6月28日再次曝出名為“ESLA”的新一波Vault 7泄密資料,其中提到CIA有能力通過(guò)截取周邊WiFi信號(hào)以追蹤各類(lèi)運(yùn)行有微軟Windows操作系統(tǒng)的PC與筆記本電腦的地理位置。簡(jiǎn)而言之,ESLA首先捕獲附近公共熱點(diǎn)ID,而后將其與公共WiFi熱點(diǎn)位置的全球地理位置數(shù)據(jù)庫(kù)進(jìn)行匹配。

此次曝光的中情局ELSA項(xiàng)目主要包含兩大核心元素:處理組件(即文件中提及的Operator Terminal)與植入物(即文件中提及的Windows Target)——后者通常被部署至目標(biāo)Windows主機(jī)當(dāng)中。

  ELSA包含的文件

  SHA1哈希值

以下為ELSA惡意軟件的工作原理

ElSA首先使用CIA發(fā)現(xiàn)的某一安全漏洞在具有WiFi功能的目標(biāo)設(shè)備上安裝惡意軟件——在此之后,CIA即可實(shí)現(xiàn)對(duì)受感染設(shè)備的持續(xù)訪問(wèn)。

ElSA隨后會(huì)利用受感染計(jì)算機(jī)的WiFi硬件掃描周邊的可見(jiàn)WiFi接入點(diǎn)(簡(jiǎn)稱(chēng)AP),而后記錄其ESSID——代表擴(kuò)展服務(wù)集標(biāo)識(shí)符(IEEE 802.11無(wú)線網(wǎng)絡(luò))、MAC地址以及信號(hào)強(qiáng)度等。

為了完成上述數(shù)據(jù)收集,ELSA惡意軟件并不需要將目標(biāo)計(jì)算機(jī)與互聯(lián)網(wǎng)相對(duì)接。相反,只要設(shè)備上啟用了WiFi功能,該惡意軟件即可順利完成運(yùn)行。

維基解密指出,“如果[目標(biāo)設(shè)備]接入互聯(lián)網(wǎng),ElSA則會(huì)自動(dòng)嘗試?yán)脕?lái)自谷歌或者微軟的公共地理位置數(shù)據(jù)庫(kù)解析當(dāng)前設(shè)備所處的位置,并存儲(chǔ)經(jīng)度、緯度數(shù)據(jù)以及時(shí)間戳。”

在此之后,收集到的信息會(huì)以加密形式被存儲(chǔ)在目標(biāo)設(shè)備之上,以備此后進(jìn)一步過(guò)濾。

該惡意軟件本身并不會(huì)將這些數(shù)據(jù)發(fā)送(傳輸)至CIA服務(wù)器——相反,操作人員(CIA黑客)將利用單獨(dú)的安全漏洞與后門(mén)程序從目標(biāo)設(shè)備上下載經(jīng)過(guò)加密的日志文件。

該操作人員會(huì)解密日志文件,而后對(duì)目標(biāo)加以進(jìn)一步分析。

ELSA項(xiàng)目允許操作人員(CIA黑客)根據(jù)目標(biāo)環(huán)境及行動(dòng)目標(biāo)定制或者修改植入物,具體包括“采樣時(shí)間間隔、日志文件最大尺寸以及調(diào)用/持久性方法。”

操作人員(CIA黑客)隨后可利用其它后端軟件將未經(jīng)處理的接入點(diǎn)信息由外泄的日志文件轉(zhuǎn)換為地理位置數(shù)據(jù),并借此為目標(biāo)設(shè)備創(chuàng)建追蹤配置文件。

維基解密披露的ELSA報(bào)告摘要原文

維基百科此次發(fā)布的各份文件均來(lái)自CIA旗下的ELSA項(xiàng)目。ELSA為一款地理位置惡意軟件,主要面向運(yùn)行有微軟Windows操作系統(tǒng)的筆記本電腦等具備WiFi功能的設(shè)備。一旦通過(guò)CIA發(fā)現(xiàn)的某一安全漏洞被安裝在目標(biāo)設(shè)備之上,該惡意軟件即會(huì)掃描當(dāng)前可發(fā)現(xiàn)的各WiFi接入點(diǎn),同時(shí)定期記錄ESS標(biāo)識(shí)符、MAC地址以及信號(hào)強(qiáng)度。而要執(zhí)行數(shù)據(jù)收集操作,目標(biāo)設(shè)備并不需要接入互聯(lián)網(wǎng)或者接入點(diǎn)裝置; 相反,其只需要啟用自身WiFi功能即可。而如果能夠接入互聯(lián)網(wǎng),該惡意軟件則會(huì)自動(dòng)嘗試?yán)霉雀杌蛘呶④浀墓驳乩砦恢脭?shù)據(jù)庫(kù)對(duì)當(dāng)前設(shè)備的所在位置進(jìn)行解析,同時(shí)保存相關(guān)的經(jīng)度、緯度數(shù)據(jù)以及時(shí)間戳。其收集到的接入點(diǎn)/地理位置信息將以加密形式存儲(chǔ)在受感染設(shè)備之上,以備隨后進(jìn)行過(guò)濾。該惡意軟件本身并不會(huì)將數(shù)據(jù)發(fā)送至CIA后端; 相反,操作人員必須主動(dòng)對(duì)設(shè)備中的日志文件進(jìn)行檢索——而這部分操作則會(huì)用到另一獨(dú)立的CIA安全漏洞及后門(mén)程序。

ELSA項(xiàng)目允許攻擊方以定制化方式設(shè)計(jì)植入物,借此保證其與目標(biāo)環(huán)境及操作方式相匹配——具體包括采樣間隔、日志文件最大體積以及調(diào)用/持久性方法。額外的后端軟件(其將再次使用谷歌與微軟的公共地理位置數(shù)據(jù)庫(kù))負(fù)責(zé)將未經(jīng)處理的接入點(diǎn)信息由外泄的日志文件轉(zhuǎn)換為地理位置數(shù)據(jù),并借此為目標(biāo)設(shè)備創(chuàng)建追蹤配置文件。

維基解密自三月以來(lái)公開(kāi)的CIA工具

下面是E安全整理的維基解密自今年3月以來(lái)披露發(fā)布的CIA工具:

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)