Beveiligingsonderzoekers hebben bevestigd dat een Europese politicus zijn telefoon liet hacken met de Pegasus-spyware terwijl hij deel uitmaakte van een onderzoekscommissie naar misbruik van het beruchte surveillanceprogramma. Dit heeft opnieuw controverse aangewakkerd over overheden die spyware misbruiken om informatie over critici te verzamelen.

De onderzoekers van The Citizen Lab, de digitale rechtenafdeling van de Universiteit van Toronto, zeggen dat de bevestigde telefoonhack van de Griekse journalist en voormalig politicus Stelios Kouloglou in 2022 en 2023 de eerste keer is dat een lid van het Europees Parlement's PEGA-comité, dat belast is met het onderzoeken van spyware-aanvallen door Europese overheden, publiekelijk is geïdentificeerd als slachtoffer van spyware.

Kouloglou vertelde TechCrunch in een telefoongesprek dat de opzettelijke compromittering van zijn telefoon "roekeloos" was. Een zittend Europees wetgever beschreef de hack van Kouloglou's telefoon als een "directe aanval op de rechtsstaat" en riep de Europese Commissie op om concrete actie te ondernemen door strikte beperkingen op te leggen aan het gebruik van spyware in de 27 lidstaten.

Hoewel spyware-aanvallen op wetgevers zeldzaam zijn, suggereert de timing en het doelwit van een commissieonderzoeker via precies de spyware die hij onderzocht, een intense focus op de interne werking van de commissie voorafgaand aan een langverwacht rapport met de bevindingen. De hacks roepen nieuwe vragen op over hoe overheden spyware gebruiken die zogenaamd nodig is voor het opsporen van ernstige misdrijven, maar vervolgens worden betrapt op het bespioneren van communicatie van journalisten, wetgevers en critici.

Citizen Lab's onderzoekers schreven de telefoonhack niet toe aan een specifiek land, maar zeiden dat de overheidsklant hetzelfde met Pegasus beladen e-mailadres gebruikte dat eerder werd gebruikt in een campagne die telefoons van journalisten in heel Europa hackte. De identiteit van de klant is niet bekend, maar het hergebruik van hetzelfde aanvallende e-mailadres impliceert dat de klant toestemming had van NSO Group om zijn Pegasus-spyware te gebruiken om telefoons in meerdere Europese landen af te luisteren.

Een woordvoerder van de Europese Commissie reageerde niet op het verzoek van TechCrunch om commentaar. NSO Group reageerde ook niet op een verzoek om commentaar over het Citizen Lab-rapport voor publicatie.

In zijn rapport van vrijdag zei Citizen Lab dat Kouloglou in oktober 2022 en minstens twee keer in maart 2023 werd gehackt via een exploit die misbruik maakte van een beveiligingslek in Apple's iPhone-software. Dit lek was gepatcht, maar de update was nog niet geïnstalleerd op Kouloglou's telefoon. De exploit was een "zero-click" bug, wat betekent dat de spyware binnenkwam en zijn gegevens stal zonder dat hij iets hoefde te doen.

De bug maakte misbruik van een eerder ontdekte fout in Apple's smart home-software die in iPhones wordt gebruikt. Het stelde de spyware in staat om privégegevens van Kouloglou's telefoon te stelen zonder zijn medeweten, zoals zijn sms'jes en andere correspondentie, locatiegegevens en foto's.

De timing van de hack in oktober 2022 valt samen met intense discussies via e-mail en sms gedurende oktober en november 2022, voorafgaand aan de levering van een eerste ontwerp dat spywaremisbruik beschrijft, met focus op Cyprus, Griekenland, Hongarije, Polen en Spanje.

De hack valt ook precies samen met de tijd dat Kouloglou in het ziekenhuis lag voor een geplande operatie, wat de spyware-operators mogelijk in staat stelde om mee te luisteren naar omgevingsgeluid over zijn gezondheidszorg of andere gesprekken die hij op dat moment met bezoekers voerde.

Maanden later, op 6 en 7 maart, zei Citizen Lab dat Kouloglou's telefoon opnieuw werd gehackt door dezelfde Pegasus-operator terwijl Kouloglou van Athene naar Brussel reisde, tijdens een periode van commissievergaderingen en maanden voordat de commissie hun schriftelijke ontwerprapport finaliseerde en aannam.

In een telefoongesprek vertelde Kouloglou aan TechCrunch dat hij niet weet waarom hij specifiek werd getarget, maar dat hij gelooft dat het te maken had met zijn werk in het Europees Parlement voor de commissie die Pegasus-misbruik onderzoekt.

Hij beschreef woede toen hij hoorde dat de hack