28 июня в рамках проекта Vault 7 на сайте WikiLeaks был обнародован очередной пакет секретной документации ЦРУ. Среди прочего, была опубликована инструкция по применению утилиты ELSA, которая позволяет выявлять пользователей устройств Windows с поддержкой Wi-Fi, используя информацию из расширенной зоны обслуживания (Extended Service Set, ESS) или ближайших сетей Wi-Fi.
В инструкции указано, что настройка конфигурации утилиты ELSA проводится на основе анализа информации об объекте атаки инструментом PATCHER wizard, генерирующим полезную нагрузку ELSA, имеющую вид простого файла формата DLL.
После того, как конфигурация была настроена, сотрудник ЦРУ внедряет ELSA в целевое Windows-устройство, поддерживающее Wi-Fi. Так как утилита является вредоносным программным обеспечением, для его инсталляции на целевую систему потребуются дополнительные программы.
После установки ELSA начинает сбор информации о точках доступа Wi-Fi согласно расписания, выставленного оператором программы. Данные можно собирать, даже если целевое устройство отключено от сети Wi-Fi. ELSA осуществляет сканирование ближайших беспроводных сетей, ведет сбор уникальных данных ESS (в это понятие входит MAC-адрес, SSID и показатель силы сигнала) и сохраняет эту информацию в локальном файле, который зашифрован с применением 128-битного ключа AES.
При подключении пользователя к интернету ELSA с помощью собранной информации запрашивает сведения о местоположении у сторонних баз данных. Информация ESS привязана к географическому местоположению, что дает возможность выяснить координаты цели.
Затем оператор подключается к целевой системе и, используя инструменты, применявшиеся для инсталляции ELSA на компьютере, получают доступ к журналу программы. Далее осуществляет расшифровка и анализ полученной информации.