Sicherheitsforscher haben bestätigt, dass ein europäischer Politiker mit der Pegasus-Spionagesoftware gehackt wurde, während er in einem Untersuchungsausschuss tätig war, der den Missbrauch des berüchtigten Überwachungstools untersuchte. Dies hat erneut Kontroversen darüber entfacht, wie Regierungen Spionagesoftware missbrauchen, um Informationen über ihre Kritiker zu sammeln.

Die Forscher der digitalen Rechte-Einheit Citizen Lab der Universität Toronto sagen, dass der bestätigte Handyhack des griechischen Journalisten und ehemaligen Politikers Stelios Kouloglou in den Jahren 2022 und 2023 das erste Mal ist, dass ein Mitglied des PEGA-Ausschusses des Europäischen Parlaments, der mit der Untersuchung von Handy-Spionageangriffen durch europäische Regierungen beauftragt ist, öffentlich als Opfer von Spionagesoftware identifiziert wurde.

Kouloglou sagte TechCrunch in einem Telefonat, dass die vorsätzliche Kompromittierung seines Telefons „rücksichtslos“ sei. Ein amtierender Europaabgeordneter bezeichnete den Hack von Kouloglous Telefon als „direkten Angriff auf die Rechtsstaatlichkeit“ und forderte die Europäische Kommission auf, konkrete Maßnahmen zu ergreifen, indem sie strenge Grenzen für die Nutzung von Spionagesoftware im gesamten Block der 27 Mitgliedstaaten einführt.

Während Spionageangriffe auf Abgeordnete selten sind, deutet die zeitliche Abstimmung und die gezielte Auswahl eines Ausschussermittlers durch genau die Spionagesoftware, die er untersuchte, auf eine intensive Fokussierung auf die internen Abläufe des Ausschusses hin, kurz vor einem mit Spannung erwarteten Bericht, der seine Ergebnisse detailliert darlegt. Die Hacks werfen neue Fragen auf, wie Regierungen Spionagesoftware einsetzen, die angeblich zur Identifizierung schwerer Straftaten benötigt wird, aber dann dabei erwischt wird, die Kommunikation von Journalisten, Abgeordneten und Kritikern auszuspionieren.

Die Forscher von Citizen Lab schrieben den Handy-Hack keinem bestimmten Land zu, sagten aber, dass der Regierungskunde dieselbe mit Pegasus beladene E-Mail-Adresse verwendete, die bereits in einer früheren Kampagne genutzt wurde, um die Handys von Journalisten in ganz Europa zu hacken. Die Identität des Kunden ist nicht bekannt, aber die Wiederverwendung derselben angreifenden E-Mail-Adresse impliziert, dass der Kunde die Autorisierung der NSO Group hatte, ihre Pegasus-Spionagesoftware zum Ausspionieren von Handys in mehreren europäischen Ländern einzusetzen.

Ein Sprecher der Europäischen Kommission reagierte nicht auf die Bitte von TechCrunch um einen Kommentar. Auch die NSO Group reagierte vor der Veröffentlichung nicht auf eine Bitte um einen Kommentar zu dem Citizen-Lab-Bericht.

In seinem am Freitag veröffentlichten Bericht sagte Citizen Lab, dass Kouloglou im Oktober 2022 und mindestens zweimal im März 2023 mit einem Exploit gehackt wurde, der eine Sicherheitslücke in der iPhone-Software von Apple ausnutzte. Diese Sicherheitslücke war zwar gepatcht worden, aber der Fix war noch nicht auf Kouloglous Telefon installiert. Der Exploit war ein „Zero-Click“-Bug, was bedeutet, dass die Spionagesoftware eindrang und seine Daten stahl, ohne dass er selbst eingreifen musste.

Der Bug nutzte einen zuvor entdeckten Fehler in Apples Smart-Home-Software aus, die in iPhones verwendet wird. Er ermöglichte es der Spionagesoftware, ohne sein Wissen private Daten von Kouloglous Telefon zu stehlen, wie seine Textnachrichten und andere Korrespondenz, Standortdaten und Fotos.

Der Zeitpunkt des Hacks im Oktober 2022 fällt mit intensiven Diskussionen per E-Mail und SMS im gesamten Oktober und November 2022 zusammen, vor der Vorlage eines ersten Entwurfs, der Spionagesoftware-Missbrauch in Zypern, Griechenland, Ungarn, Polen und Spanien beschreibt.

Der Hack fällt auch genau in die Zeit, als Kouloglou für eine geplante Operation im Krankenhaus war, was es den Spionagesoftware-Betreibern möglicherweise ermöglichte, Umgebungsgeräusche über seine Gesundheitsversorgung oder andere Gespräche mit Besuchern zu belauschen.

Monate später, am 6. und 7. März, wurde Kouloglous Telefon laut Citizen Lab erneut von demselben Pegasus-Betreiber gehackt, während Kouloglou von Athen nach Brüssel reiste, während einer Zeit von Ausschussanhörungen und Monate bevor der Ausschuss seinen schriftlichen Entwurf fertigstellte und verabschiedete.

In einem Telefonat sagte Kouloglou zu TechCrunch, dass er nicht wisse, warum er gezielt ins Visier genommen wurde, aber er glaube, dass es aufgrund seiner Arbeit im Untersuchungsausschuss des Europäischen Parlaments zu Pegasus-Missbrauch war.

Er beschrieb Wut, als er erfuhr, dass der Hack stattfand, während er im Krankenhaus war, und dass die Angreifer möglicherweise private Gespräche mit seiner Familie und medizinischem Personal mithörten. „Es ist eine sehr unangenehme Situation, wenn man erfährt, dass man ausspioniert wurde, während man im Krankenhaus war“, sagte er.

Citizen Lab sagte, dass der Pegasus-Betreiber, der Kouloglous Telefon hackte, dieselbe E-Mail-Adresse verwendete, die zuvor verwendet wurde, um die Telefone von Journalisten in Zypern, Griechenland und Spanien zu hacken. Die Forscher identifizierten den Betreiber nicht namentlich, aber die Wiederverwendung derselben E-Mail-Adresse deutet darauf hin, dass es sich um denselben Kunden der NSO Group handelt.

Die Enthüllung kommt zu einem Zeitpunkt, an dem die Europäische Kommission über neue Vorschriften nachdenkt, die den Einsatz von Spionagesoftware durch Regierungen einschränken sollen. Ein Sprecher der Kommission sagte, dass sie die Angelegenheit prüfe.

Die NSO Group hat wiederholt bestritten, dass ihre Software von Regierungen missbraucht wird, um Journalisten und Aktivisten auszuspionieren. Das Unternehmen sagt, dass es nur an Regierungen verkauft, die es zur Bekämpfung von Terrorismus und schwerer Kriminalität einsetzen.

Aber Kritiker sagen, dass die jüngste Enthüllung zeigt, dass die NSO Group nicht genug tut, um sicherzustellen, dass ihre Software nicht missbraucht wird. „Dies ist ein weiteres Beispiel dafür, wie die NSO Group ihre Software an Regierungen verkauft, die sie dann missbrauchen, um ihre Kritiker auszuspionieren“, sagte ein Sprecher von Amnesty International.

Die Enthüllung kommt auch zu einem Zeitpunkt, an dem die Europäische Union über neue Regeln nachdenkt, die den Einsatz von Spionagesoftware durch Regierungen einschränken sollen. Die Regeln würden von den Regierungen verlangen, eine gerichtliche Genehmigung einzuholen, bevor sie Spionagesoftware einsetzen, und sie müssten auch offenlegen, wie sie die Software einsetzen.

Aber einige Abgeordnete sagen, dass die Regeln nicht weit genug gehen. „Wir brauchen ein vollständiges Verbot von Spionagesoftware, die von Regierungen eingesetzt wird, um ihre Kritiker auszuspionieren“, sagte ein Abgeordneter.

Die Enthüllung hat auch Fragen über die Sicherheit von iPhones aufgeworfen. Apple hat wiederholt erklärt, dass seine iPhones sicher sind, aber die jüngste Enthüllung zeigt, dass sie immer noch anfällig für Hackerangriffe sein können.

Apple hat auf die Enthüllung nicht reagiert.

Die Enthüllung ist ein weiterer Schlag für die NSO Group, die bereits mit mehreren Klagen konfrontiert ist, weil sie Regierungen beim Ausspionieren von Journalisten und Aktivisten geholfen haben soll. Das Unternehmen hat die Vorwürfe zurückgewiesen.

Die Enthüllung kommt auch zu einem Zeitpunkt, an dem die Europäische Union über neue Regeln nachdenkt, die den Einsatz von Spionagesoftware durch Regierungen einschränken sollen. Die Regeln würden von den Regierungen verlangen, eine gerichtliche Genehmigung einzuholen, bevor sie Spionagesoftware einsetzen, und sie müssten auch offenlegen, wie sie die Software einsetzen.

Aber einige Abgeordnete sagen, dass die Regeln nicht weit genug gehen. „Wir brauchen ein vollständiges Verbot von Spionagesoftware, die von Regierungen eingesetzt wird, um ihre Kritiker auszuspionieren“, sagte ein Abgeordneter.