У середу, 28 червня, WikiLeaks опублікував чергову порцію секретних документів ЦРУ в рамках проекту Vault 7. На сайті з'явилася 42-сторінкова інструкція по використанню інструменту ELSA, що дозволяє відстежувати користувачів Windows-пристроїв з підтримкою Wi-Fi на основі даних розширеної зони обслуговування (Extended Service Set, ESS) або найближчих мереж Wi-Fi.

Згідно з інструкцією, настройка конфігурації шкідливого ПО ELSA здійснюється на основі оточення атакується мети за допомогою інструменту PATCHER wizard, який генерує корисне навантаження ELSA (простий DLL-файл). Змінні оточення включають в себе архітектуру атакується комп'ютера (x86 або x64), бажаний режим (dllhost, svchost, rundll32 або appinit), бажаного провайдера (Microsoft / Google), бажаний максимальний розмір файлу реєстру тощо.

Після настройки конфігурації оперативник ЦРУ заражає ELSA атакується Windows-пристрій з підтримкою Wi-Fi. Оскільки інструмент являє собою шкідливе ПО, для його установки на систему, що атакується знадобляться додаткові програми і експлоїти.

Встановившись на системі, ELSA починає збирати дані про точках доступу Wi-Fi на підставі встановленого оперативником розкладу. Збір даних можливий навіть у разі, якщо користувач відключений від мережі Wi-Fi. Шкідливий сканує найближчі бездротові мережі, збирає унікальні дані ESS (MAC-адресу, SSID і сила сигналу) і зберігає їх в локальному файлі, зашифрованому за допомогою 128-бітного ключа шифрування AES.

Коли користувач підключається до інтернету, ELSA бере зібрані дані і звертається до сторонніх баз даних для отримання відомостей про місцезнаходження. Інформація ESS пристосована до географічного розташування, тому дозволяє визначати, де знаходиться мета.

Далі оперативник підключається до цільової системі і за допомогою інструментів, що використовувалися для установки ELSA на комп'ютері, отримують доступ до журналу шкідливий. Отримані дані розшифровуються і аналізуються.