Per poter funzionare correttamente e geolocalizzare un obiettivo, il target deve avere il Wi-Fi abilitato e deve essere circondato da access point così da tracciarne in seguito gli spostamenti
WikiLeaks svela i documenti relativi a ELSA un tool progettato dalla CIA. E’ un geo-location malware, ovvero un malware in grado di geolocalizzare persone in possesso di un device con il wifi abilitato, in particolare laptop con sistema operativo Windows.
Che cos’è ELSA
E’ un tool che può essere utilizzato soltanto su sistemi Windows. Questo software è installabile sul sistema della vittima attraverso una tecnica chiamata dll injection. Nel docuemnto non è specificato come avviene l’installazione ma certamente WikiLeaks in questi mesi ha dato prova che la CIA e l’NSA non sono a corto di armi informatiche in grado di impossesarsi di un computer e di prenderne il controllo.
Dunque si può immaginare che ELSA venga installato utilizzando uno dei tanti software a disposizione delle agenzie governative.
Come funziona
Per poter funzionare correttamente e geo-localizzare un obiettivo, il target deve avere il Wi-Fi abilitato e deve essere circondato da access point così da tracciarne in seguito gli spostamenti. In breve è possibile descrivere un caso d’uso di questo impianto con pochi passaggi:
Fase1: Un operatore configura un impianto ELSA che verrà successivamente installato
Fase 2: Un operatore installa l’impianto in un host Windows ed inizia a raccogliere informazioni
Fase 3: In base alla configurazione fatta dall’operatore, l’impianto inizia a raccogliere informazioni sugli Access Point nell’ambiente.
Fase 4: Se configurato per farlo, quando il computer vittima si connette a Internet, l’impianto risolverà i dati raccolti per geo-localizzare il device utilizzando database pubblici di terze parti per la risoluzione della posizione espressa in latitudine e longitudine.
Fase 5: L’operatore si connette al computer vittima e scarica il log criptato in AES 128 bit
Fase 6: L’operatore decripta il log ed analizza i dati salvati
Per comprendere meglio quale sia il risultato di questa operazione, ecco un esempio del file di log XML decriptato:
E’ possibile notare come sotto il tag “wifi-ap-entry” vi siano tutte le informazioni relative agli access point scansionati in un preciso istante, nell’esempio le reti wifi “viste” dal computer vittima sono quattro:
- linksys
- Free Public Wifi
- madeup
- TIPICOS GLORIA.
Oltre al SSID nonché il nome della rete WiFi si possono notare il MAC address (l’identificativo del device) e l’RSSI cioè la potenza del segnale. Nel tag “geo-entry” sono invece presenti i tre valori davvero significativi di questo file, ovvero “accuracy” cioè la precisione e l’accuratezza della posizone, “provider” chi fornisce il servizio di risoluzione della posizione e possono essere due Microsoft o Google e “location” espressa in latitudine e longitudine
