Badacze bezpieczeństwa potwierdzili, że telefon europejskiego polityka został zhakowany oprogramowaniem Pegasus, gdy zasiadał w komisji śledczej badającej nadużycia tego niesławnego narzędzia inwigilacji. Wywołało to nową kontrowersję wokół rządów nadużywających szpiegowskiego oprogramowania do zbierania informacji o swoich krytykach.

Badacze z jednostki praw cyfrowych Citizen Lab na Uniwersytecie w Toronto twierdzą, że potwierdzone zhakowanie telefonu greckiego dziennikarza i byłego polityka Steliosa Kouloglou w latach 2022-2023 to pierwszy przypadek, gdy członek komisji PEGA Parlamentu Europejskiego, której zadaniem jest badanie ataków szpiegowskiego oprogramowania przez europejskie rządy, został publicznie zidentyfikowany jako ofiara.

Kouloglou powiedział TechCrunch w rozmowie telefonicznej, że celowe naruszenie jego telefonu było „lekkomyślne”. Jeden z urzędujących europejskich prawodawców określił zhakowanie telefonu Kouloglou jako „bezpośredni atak na praworządność” i wezwał Komisję Europejską do podjęcia konkretnych działań poprzez nałożenie ścisłych ograniczeń na używanie szpiegowskiego oprogramowania w całym bloku 27 państw członkowskich.

Choć ataki szpiegowskiego oprogramowania na prawodawców są rzadkie, wybór czasu i celu – śledczego komisji – za pomocą dokładnie tego oprogramowania, które badał, sugeruje intensywne skupienie na wewnętrznych pracach komisji przed długo oczekiwanym raportem szczegółowo opisującym jej ustalenia. Haki otwierają nowe pytania o to, jak rządy używają szpiegowskiego oprogramowania rzekomo potrzebnego do identyfikowania poważnych przestępstw, ale potem przyłapane na szpiegowaniu komunikacji dziennikarzy, prawodawców i krytyków.

Badacze Citizen Lab nie przypisali zhakowania telefonu konkretnemu krajowi, ale stwierdzili, że rządowy klient użył tego samego adresu e-mail załadowanego Pegasusem, który był używany w poprzedniej kampanii, która zhakowała telefony dziennikarzy w całej Europie. Tożsamość klienta nie jest znana, ale ponowne użycie tego samego adresu e-mail atakującego sugeruje, że klient miał autoryzację NSO Group do używania Pegasusa do szpiegowania telefonów w wielu krajach Europy.

Rzecznik Komisji Europejskiej nie odpowiedział na prośbę TechCrunch o komentarz. NSO Group również nie odpowiedziało na prośbę o komentarz w sprawie raportu Citizen Lab przed publikacją.

W swoim raporcie opublikowanym w piątek Citizen Lab stwierdził, że Kouloglou został zhakowany w październiku 2022 roku i co najmniej dwukrotnie w marcu 2023 roku przy użyciu exploita, który wykorzystał lukę bezpieczeństwa w oprogramowaniu iPhone'a Apple. Ta luka została załatana, ale poprawka nie została jeszcze zainstalowana na telefonie Kouloglou. Exploit był błędem „zero-click”, co oznacza, że szpiegowskie oprogramowanie włamało się i ukradło jego dane bez żadnej interakcji z jego strony.

Błąd wykorzystał wcześniej odkrytą wadę w oprogramowaniu inteligentnego domu Apple używanym w iPhone'ach. Pozwoliło to szpiegowskiemu oprogramowaniu na przechwycenie prywatnych danych z telefonu Kouloglou bez jego wiedzy, takich jak wiadomości tekstowe i inna korespondencja, dane lokalizacyjne i zdjęcia.

Czas zhakowania w październiku 2022 roku zbiega się z intensywnymi dyskusjami przez e-mail i SMS w październiku i listopadzie 2022 roku, przed dostarczeniem pierwszego projektu opisującego nadużycia szpiegowskiego oprogramowania skupiającego się na Cyprze, Grecji, Węgrzech, Polsce i Hiszpanii.

Hak zbiega się również dokładnie z czasem, gdy Kouloglou był w szpitalu na zaplanowanej operacji, co mogło pozwolić operatorom szpiegowskiego oprogramowania na podsłuchiwanie dźwięku otoczenia dotyczącego jego opieki zdrowotnej lub innych rozmów, które prowadził z odwiedzającymi.

Miesiące później, 6 i 7 marca, Citizen Lab stwierdził, że telefon Kouloglou został ponownie zhakowany przez tego samego operatora Pegasusa, gdy Kouloglou podróżował z Aten do Brukseli, w okresie przesłuchań komisji i na miesiące przed sfinalizowaniem i przyjęciem przez komisję pisemnego projektu raportu.

W rozmowie telefonicznej Kouloglou powiedział TechCrunch, że nie wie, dlaczego został specjalnie wybrany, ale uważa, że było to spowodowane jego pracą w komisji Parlamentu Europejskiego badającej nadużycia Pegasusa.

Opisał gniew, gdy dowiedział się, że h