WikiLeaks baru saja menerbitkan batch baru dari seri kebocoran Vault 7 yang sedang berlangsung, dan kali ini situs whistleblowing tersebut telah mengungkapkan perangkat lunak rahasia untuk melacak geo-location PC dan laptop yang ditargetkan yang menjalankan sistem operasi Microsoft Windows.
Singkatnya, malware melakukannya dengan menangkap ID hotspot publik terdekat dan kemudian mencocokkannya dengan database global lokasi hotspot Wi-Fi publik.
Dijuluki ELSA, proyek CIA ini terdiri dari dua elemen utama: komponen pemrosesan (Terminal Operator) dan implan (Windows Target) yang biasanya digunakan pada target host Windows.
Inilah Cara Kerja Malware ELSA Milik CIA
Sistem Elsa pertama-tama menginstal malware pada mesin target berkemampuan WiFi menggunakan eksploitasi CIA terpisah untuk mendapatkan akses terus-menerus pada perangkat.
Malware tersebut kemudian menggunakan perangkat keras Wi-Fi dari komputer yang terinfeksi untuk memindai akses WiFi Access-Points (AP) terdekat dan mencatat ESSID – singkatan dari Extended Service Set Identifier (jaringan nirkabel IEEE 802.11), alamat MAC dan kekuatan sinyal secara berkala.
Untuk melakukan pengumpulan data ini, malware ELSA tidak memerlukan komputer yang ditargetkan untuk terhubung ke Internet. Sebagai gantinya, hanya memerlukan perangkat lunak jahat yang berjalan pada perangkat yang dilengkapi Wi-Fi.
“Jika [perangkat target] terhubung ke internet, malware secara otomatis mencoba menggunakan basis data geo-location publik dari Google atau Microsoft untuk menyelesaikan posisi perangkat dan menyimpan data bujur & lintang beserta stempel waktu,” catat WikiLeaks.
Informasi yang dikumpulkan kemudian disimpan dalam bentuk terenkripsi pada perangkat yang ditargetkan untuk exfiltrasi nanti.
Malware CIA sendiri tidak memberi suar (transfer) data ini ke server agensi, sebagai gantinya, operator (hacker CIA) mendownload file log terenkripsi dari perangkat menggunakan eksploitasi dan backdoor CIA yang terpisah.
Operator kemudian mendekripsi file log dan melakukan analisis lebih lanjut terhadap target mereka.
Proyek ELSA memungkinkan hacker CIA untuk menyesuaikan atau memodifikasi implan tergantung pada lingkungan sasaran dan tujuan operasional seperti “sampling interval, ukuran maksimum file log dan metode persistensi.“
Hacker CIA (operator) kemudian menggunakan perangkat lunak back-end tambahan untuk mencocokkan data titik akses yang dikumpulkan dari file log exfiltrated dengan database geol-location publik (dari Google dan Microsoft) dan menemukan lokasi yang tepat dari target mereka.
Pekan lalu, WikiLeaks mengungkap sebuah alat CIA yang menargetkan Microsoft Windows. Dijuluki Brutal Kangaroo, yang menargetkan jaringan tertutup atau komputer Air-Gapped dalam sebuah organisasi atau perusahaan tanpa memerlukan akses langsung.
Sejak bulan Maret, WikiLeaks telah menerbitkan 12 batch seri “Vault 7“, yang mencakup kebocoran terbaru dan terakhir minggu ini.
