Am 28. Juni 2017 veröffentlichte WikiLeaks eine weitere Reihe von Dokumenten zu den Hacker-Tools der CIA. Dieses Mal wurde das 42-seitige
ELSA-Benutzerhandbuch (
pdf ) freigegeben. Dieses System ermittelt den physischen Standort von Computern unter Windows 7 (32 und 64 Bit), die mit einem WiFi-Modul ausgestattet sind.
Die Dokumentversion 1.1.0 ist vom 27. September 2013, d. H. Dies ist ein relativ altes Handbuch. Es ist nicht bekannt, ob die CIA derzeit solche Methoden verwendet oder ob sie fortschrittlichere Technologien implementiert hat.
Das System ist sehr einfach. Es zeichnet die Kennungen von WLAN-Zugangspunkten auf, die sich in der Nähe des Computers des Opfers befinden, und überträgt die Metadaten an Datenbanken von Drittanbietern, von denen sie die Koordinaten dieser Zugangspunkte erhalten. Basierend auf den erhaltenen Informationen berechnet ELSA Breite und Länge und gibt die Genauigkeit der Geolokalisierung an.
In der Dokumentation heißt es, dass die entsprechenden Access Point-Datenbanken Geolocation-Dienste in Firefox, Opera, Chrome und Internet Explorer gemäß den W3C-Spezifikationen unterstützen. Die Genauigkeit der Geolokalisierung hängt direkt von der Genauigkeit der Informationen in diesen Datenbanken von Drittanbietern ab. Um zu überprüfen, ob die Datenbankabdeckung und Informationen zu den Koordinaten von Hotspots der Realität entsprechen, empfiehlt das Management, in den
gewünschten Bereich zu wechseln,
maps.google.com in einem Browser zu öffnen und auf eine Schaltfläche zu klicken, um Ihren Standort zu bestimmen. Wenn der Browser die Koordinaten des Agenten über WLAN korrekt ermittelt, ist die Abdeckung gut.
Zum Zeitpunkt des Schreibens verwendeten die Browser Firefox, Opera und Chrome die Google-Datenbank für die Geolokalisierung, während der IE Anforderungen an Microsoft-Server sendete.
ELSA fragt diese Dienste über HTTPS ab und speichert das Ergebnis in einer verschlüsselten Datei mit 128-Bit-AES-Verschlüsselung.
Ein Schlüsselelement des ELSA-Systems ist das Lesezeichen, das auf einem Windows 7-Computer installiert werden sollte, der zum Verfolgungsobjekt gehört. Dort ist die DLL in einen bestehenden Prozess eingebettet. In Zukunft kann der Trojaner entweder selbst legale Datenbanken von Drittanbietern auf Geolokalisierung abfragen oder Rohdaten an den Betreiber zurückgeben, sodass er die Geolokalisierung selbst durchführt.
Troyan sammelt Systeminformationen über WiFi-Zugangspunkte in der Reichweite gemäß dem vom Betreiber festgelegten Zeitplan. Die Datenerfassung ist auch dann möglich, wenn der Computer des Opfers keine Verbindung zu einem Zugangspunkt hergestellt hat. Windows überwacht weiterhin die umliegenden Hotspots und diese Informationen stehen dem Trojaner zur Verfügung. Somit ist die Verfolgung der Bewegungen des Computers des Opfers kontinuierlich.
In den Einstellungen können Sie festlegen, dass er die Koordinaten unabhängig berechnet, sobald das Opfer eine Verbindung zum Internet herstellt. Anschließend wird das gespeicherte Protokoll an den Computer des Bedieners übertragen. Um den Trojaner zu maskieren, wird standardmäßig nicht versucht, eine unabhängige Verbindung zum Computer des Bedieners herzustellen, sondern nur passiv Daten auf die Festplatte geschrieben. Um das Protokoll zu erhalten, muss der Bediener selbst mit anderen Hintertüren und Exploits zum Computer des Opfers gehen und das Protokoll abholen.
Die Einstellungen geben die maximale Protokollgröße an. Wenn das Limit erreicht ist, werden alte Datensätze gelöscht, wodurch neueren Datensätzen Platz gemacht wird. Das Protokoll wird ständig auf der Festplatte gespeichert, damit beim Neustart des Computers keine Informationen verloren gehen.
Zusätzlich zu den grundlegenden WiFi-Metadaten (d. H. Zugriffspunktnamen) kann der Trojaner so konfiguriert werden, dass zusätzliche Metadaten wie MAC-Adressen, SSIDs und Signalstärkeinformationen von jedem Zugriffspunkt erfasst werden. Auf diese Weise können Sie die Koordinaten des Opfers genauer berechnen.
ELSA-Paketinhalt
| Verzeichnis | Dateiname | Anmerkungen |
|---|
| Server / Windows | patcher.exe | Windows-Konfigurationstool |
| Server / Windows | process.exe | Windows-Entschlüsselungstool |
| Server / Windows | tool-x64.dll | Implantat für Windows x64 |
| Server / Windows | tool-x86.dll | Implantat für Windows x86 |
| Server / Windows | installDllMain.vbs | VBScript-Datei zur willkürlichen Platzierung einer ELSA-Aufgabe im Taskplaner |
| Server / Windows | uninstallDllMain.vbs | VBScript-Datei zum Entfernen einer ELSA-Aufgabe aus dem Taskplaner |
| Server / Windows | sha1-windows-images.txt | Hashes von SHA1-Dateien aus dem Kit |
| Server / Windows | classifications-windows.txt | Klassifizierung von Dateien aus dem Kit |
| docs | Elsa User Manual.pdf | Diese Anleitung |
Leider hat WikiLeaks wie üblich nicht die Malware-Dateien selbst veröffentlicht, sondern nur die Dokumentation für das Programm.
CIA-Experten betonen, dass die WiFi-Überwachung bestimmte Vorteile hat, da kein GPS- oder Mobilfunkmodul am Gerät erforderlich ist, sondern nur die übliche WiFi-Schnittstelle, die heutzutage in fast jedem Gerät vorhanden ist. Das ELSA-System eignet sich naturgemäß am besten zum Verfolgen von Laptops, da es keinen Sinn macht, die Koordinaten eines stationären Computers ständig zu überwachen, und Windows 7 auf Smartphones nicht verwendet wird. Offensichtlich verfügt die CIA über andere Lesezeichen für iOS und Android und ist viel einfacher zu verfolgen Metadaten vom Träger.
Der Werkzeugentwickler ist eine Abteilung der CIA Engineering Development Group. Diese Einheit ist Teil des Managements der Direktion für digitale Innovation (DDI), siehe
CIA-Organigramm . Es ist an der Entwicklung, dem Testen und der Wartung aller CIA-Software beteiligt.