ELSA : Nueva herramienta de la CIA filtrada por Wikileaks para geolocalizar computadoras

Wikileaks a publicado otra nueva herramienta de la filtración Vaul 7. Esta herramienta llamada ELSA es un Malware que realiza seguimiento de la ubicación geográfica de una PC o laptop bajo el sistema operativo Windows.

En resumen, el malware lo hace mediante la captura de los identificadores de hotspots públicos cercanos y luego busca ese identificador dentro de una base de datos de Wi-Fi públicos.

Bajo el nombre de ELSA, el supuesto proyecto de la CIA consta de dos elementos principales: el componente de procesamiento (terminal de operador) y el implante (Windows Target), que suele estar implementado en un host de destino de Windows.

Como funciona el malware ELSA de la CIA

 

El sistema Elsa instala primero el malware en una máquina habilitada para WiFi, utilizando exploits previamente descubiertos por la CIA, para obtener persistencia.

El malware después utiliza el hardware Wi-Fi de la computadora infectada para escanear puntos de acceso WiFi visibles cercanos y registra a intervalos regulares su ESSID – significa Identificador de Conjunto de Servicio Extendido (IEEE 802.11 wireless network), dirección MAC y señal.

Para realizar esta recopilación de datos, el malware ELSA no requiere que el ordenador de destino esté conectado a Internet. En su lugar, sólo requiere que el malware se ejecute en un dispositivo con Wi-Fi habilitado.

“Si [el dispositivo de destino] está conectado a Internet, el malware intenta usar bases de datos geográficas públicas de Google o Microsoft para resolver la posición del dispositivo y almacena los datos de longitud y latitud junto con la marca de tiempo”, señala WikiLeaks .

La información recogida se almacena entonces en forma cifrada en el dispositivo de destino para su posterior exfiltración.

El malware de la CIA no transfiere estos datos al servidor de la agencia, sino que el operador (CIA hacker) descarga los archivos de registro encriptados desde el dispositivo utilizando exploits de la CIA o puertas traseras.

A continuación, el operador descifra los archivos de registro y realiza un análisis posterior de la información del objetivo.

El proyecto ELSA permite a los hackers de la CIA personalizar o modificar el implante en función del entorno del objetivo y de los objetivos operacionales, como “intervalo de muestreo, tamaño máximo del archivo de registro y método de invocación / persistencia”.

El hacker (operador) de la CIA utiliza entonces un software adicional (Back-end)  para comparar los datos de puntos de acceso recopilados de los archivos de registro con las bases de datos públicas de geolocalización (de Google y Microsoft) y encuentra la ubicación exacta de su destino.

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

One thought on “ELSA : Nueva herramienta de la CIA filtrada por Wikileaks para geolocalizar computadoras

Comments are closed.