I ricercatori di sicurezza hanno confermato che un politico europeo è stato hackerato sul telefono con lo spyware Pegasus mentre faceva parte di un comitato investigativo che indagava sugli abusi del famigerato strumento di sorveglianza. Ciò ha riacceso le polemiche sull'uso improprio degli spyware da parte dei governi per raccogliere informazioni sui loro critici.

I ricercatori dell'unità per i diritti digitali dell'Università di Toronto, The Citizen Lab, affermano che l'hacking confermato del telefono del giornalista greco ed ex politico Stelios Kouloglou nel 2022 e 2023 segna la prima volta che un membro del comitato PEGA del Parlamento Europeo, incaricato di indagare sugli attacchi spyware da parte dei governi europei, è stato pubblicamente identificato come vittima di spyware.

Kouloglou ha detto a TechCrunch in una telefonata che la compromissione deliberata del suo telefono è stata "sconsiderata". Un deputato europeo in carica ha descritto l'hacking del telefono di Kouloglou come un "attacco diretto allo stato di diritto" e ha chiesto alla Commissione Europea di agire concretamente imponendo limiti rigorosi all'uso degli spyware in tutto il blocco dei 27 Stati membri.

Sebbene gli attacchi spyware ai parlamentari siano rari, la tempistica e il targeting di un investigatore del comitato proprio con lo spyware che stava indagando suggeriscono un'intensa attenzione ai lavori interni del comitato in vista di un rapporto ampiamente atteso che dettaglia le sue scoperte. Gli hack sollevano nuove domande su come i governi utilizzano gli spyware, apparentemente necessari per identificare crimini gravi, ma poi sorpresi a spiare le comunicazioni di giornalisti, parlamentari e critici.

I ricercatori di Citizen Lab non hanno attribuito l'hacking del telefono a un paese specifico, ma hanno detto che il cliente governativo ha utilizzato lo stesso indirizzo email caricato con Pegasus utilizzato in una precedente campagna che ha hackerato i telefoni di giornalisti in tutta Europa. L'identità del cliente non è nota, ma il riutilizzo dello stesso indirizzo email attaccante implica che il cliente avesse l'autorizzazione di NSO Group per utilizzare il suo spyware Pegasus per spiare i telefoni in più paesi europei.

Un portavoce della Commissione Europea non ha risposto alla richiesta di commento di TechCrunch. NSO Group non ha risposto a una richiesta di commento sul rapporto di Citizen Lab prima della pubblicazione.

Nel suo rapporto pubblicato venerdì, Citizen Lab ha affermato che Kouloglou è stato hackerato nell'ottobre 2022 e almeno due volte nel marzo 2023 utilizzando un exploit che sfruttava una vulnerabilità di sicurezza nel software iPhone di Apple. Questa vulnerabilità era stata corretta, ma la correzione non era ancora stata installata sul telefono di Kouloglou. L'exploit era un bug "zero-click", il che significa che lo spyware è entrato e ha rubato i suoi dati senza bisogno di alcuna interazione da parte sua.

Il bug abusava di un difetto precedentemente scoperto nel software per la casa intelligente di Apple utilizzato negli iPhone. Ha permesso allo spyware di rubare dati privati dal telefono di Kouloglou a sua insaputa, come i suoi messaggi di testo e altra corrispondenza, dati di localizzazione e foto.

La tempistica dell'hack dell'ottobre 2022 coincide con intense discussioni via email e messaggi di testo durante ottobre e novembre 2022, prima della consegna di una prima bozza che descriveva gli abusi degli spyware concentrandosi su Cipro, Grecia, Ungheria, Polonia e Spagna.

L'hack coincide anche esattamente con il momento in cui Kouloglou era in ospedale per un intervento chirurgico programmato, il che potrebbe aver permesso agli operatori dello spyware di ascoltare l'audio ambientale riguardante la sua assistenza sanitaria o altre conversazioni con i visitatori in quel momento.

Mesi dopo, il 6 e 7 marzo, Citizen Lab ha affermato che il telefono di Kouloglou è stato hackerato di nuovo dallo stesso operatore di Pegasus mentre Kouloglou viaggiava da Atene a Bruxelles, durante un periodo di audizioni del comitato e mesi prima che il comitato finalizzasse e adottasse la sua bozza di rapporto scritto.

In una telefonata, Kouloglou ha detto a TechCrunch che non sapeva perché fosse stato preso di mira specificamente, ma crede che sia stato a causa del suo lavoro nel comitato del Parlamento Europeo che indaga sugli abusi di Pegasus.

Ha descritto la rabbia quando ha appreso degli hack.