Πόσοι άνθρωποι γνωρίζουν που ακριβώς βρίσκεστε αυτή τη στιγμή; Κάποιοι φίλοι σας; Η οικογένειά σας; Οι συνάδελφοί σας; Εάν είστε χρήστης υπολογιστή με Windows τότε θα πρέπει να προσθέσετε μια ακόμη ομάδα στη λίστα: την CIA.
Νέα έγγραφα που κυκλοφόρησαν από το Wikileaks αναφέρουν λεπτομερώς μια μέθοδο παρακολούθησης που χρησιμοποιείται από τη μυστική υπηρεσία των ΗΠΑ. Όπως αποκαλύπτεται, η CIA μπορεί να εντοπίσει την ακριβή γεωγραφική θέση των χρηστών, χρησιμοποιώντας το Wi-Fi του υπολογιστή τους.
Πως επιτυγχάνεται αυτό;
Είναι απλό. Μέσω της χρήσης κακόβουλου λογισμικού που καταγράφει τα αναγνωριστικά των κοντινών δημόσιων σημείων πρόσβασης Wi-Fi και στη συνέχεια αντιστοιχεί τα ID τους με την παγκόσμια βάση δεδομένων στην οποία καταγράφονται οι τοποθεσίες των public Wi-Fi hotspots.
Πως λειτουργεί το “ELSA” malware;
Το φερόμενο project ELSA της CIA προβλέπει σε πρώτο στάδιο την εγκατάσταση malware σε μια συσκευή-στόχο που έχει δυνατότητα σύνδεσης σε WiFi. Στη συνέχεια χρησιμοποιούνται ξεχωριστά exploits της CIA για την απόκτηση μόνιμης πρόσβασης στη συσκευή και την εξαγωγή των πληροφοριών τοποθεσίας των χρηστών.
Ας δούμε όμως αναλυτικότερα τη διαδικασία που ακολουθείται.
Aφού μολύνουν τις συσκευές-στόχους με κακόβουλο λογισμικό, οι πράκτορες της CIA μπορούν στη συνέχεια να ελέγξουν σε ποια δημόσια δίκτυα Wi-Fi συνδεέται ή μπορεί να συνδεθεί ο εκάστοτε υπολογιστής, ανά πάσα στιγμή. Επιπλέον πληροφορίες, όπως τα αναγνωριστικά ESSID (Extended Service Set Identifier), οι διευθύνσεις MAC, καθώς και η ισχύς του σήματος WiFi, συλλέγονται.
Μέσω της καταγραφής της ισχύος του σήματος μπορεί να διαπιστωθεί η εγγύτητα σε ένα WiFi Αccess Point, για τον ακριβέστερο εντοπισμό της γεωγραφικής θέσης του χρήστη-στόχου.
Το malware της CIA λειτουργεί ακόμη και όταν η συσκευή του χρήστη δεν είναι συνδεδεμένη σε κάποιο WiFi.
To πρόγραμμα παρακολούθησης καταγράφει τα στοιχεία που χρειάζεται και μόλις η συσκευή συνδεθεί στο διαδίκτυο, το malware χρησιμοποιεί δημόσιες βάσεις δεδομένων γεωγραφικών τοποθεσιών των Google και Microsoft για να προσδιορίσει τη θέση των χρηστών. Παράλληλα το malware αποθηκεύει τα δεδομένα γεωγραφικού μήκους και γεωγραφικού πλάτους που συλλέγει, μαζί με την αντίστοιχη χρονική σήμανση. Με το τρόπο αυτό η CIA μπορεί να γνωρίζει τη θέση ενός χρήστη ανα πάσα στιγμή.
Τα δεδομένα που καταγράφονται από το κακόβουλο λογισμικό “ELSA” κρυπτογραφούνται και γίνονται logged. Οι πράκτορες της CIA μπορούν να αποκτήσουν πρόσβαση στα δεδομένα αυτά μόνο με μη αυτόματη ανάκτηση των αρχείων καταγραφής (log files), χρησιμοποιώντας επιπρόσθετα exploits και backdoors.
Να υπενθυμίσουμε ότι το Wikileaks κυκλοφορεί έγγραφα στη σειρά Vault 7 από τις 7 Μαρτίου, εκθέτοντας όλο και περισσότερα εργαλεία των hackers της CIΑ.
“Year Zero” η CIΑ εκμεταλλεύεται δημοφιλή hardware και λογισμικό.
“Weeping Angel” το εργαλείο κατασκοπείας που χρησιμοποιεί η υπηρεσία για να διεισδύσει σε έξυπνες τηλεοράσεις, μετατρέποντάς τες σε συγκεκαλυμμένα μικρόφωνα.
“Marble” ο πηγαίος κώδικας ενός μυστικού anti-forensic framework. Ουσιαστικά είναι ένα obfuscator που χρησιμοποιεί η CIΑ για να κρύψει την πραγματική πηγή κακόβουλου λογισμικού.
“Grasshopper” ένα framework το οποίο επιτρέπει στην υπηρεσία πληροφοριών να δημιουργήσει εύκολα προσαρμοσμένο κακόβουλο λογισμικό για να παραβιάζει Windows της Microsoft και να παρακάμψει κάθε προστασία από ιούς.
“Archimedes”– ένα εργαλείο επίθεσης MitM που φέρεται ότι δημιούργησε η CIΑ για τη στοχοθέτηση υπολογιστών μέσα σε ένα τοπικό δίκτυο (LAN).
Scribbles” ένα software που είναι σχεδιασμένο να προσθέτει ‘web beacons’ σε απόρρητα έγγραφα, για να επιτρέπει τον έλεγχο των διαρροών από τις μυστικές υπηρεσίες.
Athena:έχει σχεδιαστεί για να μπορεί να αποκτήσει απόλυτα τον πλήρη έλεγχο των μολυσμένων υπολογιστών Windows, επιτρέποντας στην CIΑ να εκτελεί πάρα πολλές λειτουργίες στο μηχάνημα-στόχο, όπως διαγραφή δεδομένων ή εγκατάσταση κακόβουλου λογισμικού, κλοπής δεδομένων και αποστολής τους σε servers της CIΑ.
CherryBlossom εργαλείο που παρακολουθεί τη δραστηριότητα στο διαδίκτυο ενός στόχου, να ανακατευθύνει το πρόγραμμα περιήγησης, να ανιχνεύει διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου και πολλά άλλα, μέσω του router.
Brutal Kangaroo: εργαλείο που μπορεί να χρησιμοποιηθεί για να μολύνει air-gapped υπολογιστές με κακόβουλο λογισμικό.