Elsa: Geo-Location-WiFi-Scanner-Malware der CIA

Ein weiteres Update von WikiLeaks’ Vault7-Serie. Dieses mal geht es um ELSA, eine Malware die in der Lage ist die Geo-Location eines Windows-Systems durch aktiviertes WLAN zu ermitteln.

Installiert mittels anderer Malware

Elsa hat keinen eigenen Code um sich zu verbreiten oder Windows-Systeme zu infizieren. Stattdessen muss es entweder direkt oder mittels einer anderen Malware bzw. Sicherheitslücke auf das Zielsystem installiert werden (infiziert). Sobald Elsa aktiv ist, beginnt es nach WLAN-Access Points in der Nähe zu scannen. Dabei werden Informationen über die SSID, Mac-Adresse sowie die Signalstärke in einer lokalen verschlüsselten Datenbank gespeichert. Für diese Datensammlung ist es nicht notwendig, dass Elsa eine bestehende WLAN-Verbindung hat – es genügt wenn das WiFi-Modul eingeschaltet und aktiv ist.

Sobald eine Verbindung zum Internet hergestellt ist, versucht Elsa eine Verbindung zu einer öffentlichen Geo-Location Datenbank herzustellen um dann genaue Längen- und Breitenangaben zusammen mit einem Zeitstempel verschlüsselt zu speichern. Die Malware selbst schickt die Daten nicht selbst zum Angreifer – dieser muss die Informationen entweder manuell herunterladen bzw kopieren oder mittels einer anderen Malware herunterladen.

Einstellungen und Back-End

Elsa hat viele Einstellmöglichkeiten, wie z.B. das verwendete Intervall zum Scannen, die maximale Größe der erstellten Logdatei oder die verwendete Scan-Methode. Mit einer zusätzlichen Backend-Software kann der Angreifer zusammen mit der verschlüsselten Logdatei leicht ein komplettes Bewegungsprofil erstellen.