Cercetătorii în securitate au confirmat că un politician european a fost spionat prin intermediul spyware-ului Pegasus în timp ce făcea parte dintr-un comitet de investigare a abuzurilor acestui notoriu instrument de supraveghere. Aceasta a reaprins controversele legate de guvernele care abuzează de spyware pentru a colecta informații despre criticii lor.
Cercetătorii de la unitatea pentru drepturi digitale Citizen Lab a Universității din Toronto spun că spionarea confirmată a jurnalistului grec și fost politician Stelios Kouloglou în 2022 și 2023 marchează prima dată când un membru al Comitetului PEGA al Parlamentului European, însărcinat cu investigarea atacurilor cu spyware de către guvernele europene, a fost identificat public ca victimă a spyware-ului.
Kouloglou a declarat pentru TechCrunch într-un apel telefonic că compromiterea deliberată a telefonului său a fost „nesăbuită”. Un deputat european în funcție a descris spionarea telefonului lui Kouloglou drept „un atac direct asupra statului de drept” și a cerut Comisiei Europene să ia măsuri concrete prin impunerea unor limite stricte privind utilizarea spyware-ului în cele 27 de state membre.
Deși atacurile cu spyware asupra parlamentarilor sunt rare, momentul și țintirea unui investigator al comitetului cu exact spyware-ul pe care îl investiga sugerează un interes intens asupra activității interne a comitetului înaintea unui raport mult așteptat care detaliază concluziile sale. Spionările deschid noi întrebări despre cum guvernele folosesc spyware-ul, necesar în teorie pentru identificarea infracțiunilor grave, dar apoi prinse spionând comunicațiile jurnaliștilor, parlamentarilor și criticilor.
Cercetătorii Citizen Lab nu au atribuit spionarea unei țări specifice, dar au spus că clientul guvernamental a folosit aceeași adresă de e-mail încărcată cu Pegasus care a fost folosită într-o campanie anterioară ce a spionat telefoanele jurnaliștilor din Europa. Identitatea clientului nu este cunoscută, dar reutilizarea aceleiași adrese de e-mail atacatoare implică faptul că clientul avea autorizația NSO Group de a folosi spyware-ul Pegasus pentru a spiona telefoane în mai multe țări europene.
Un purtător de cuvânt al Comisiei Europene nu a răspuns solicitării TechCrunch de comentarii. NSO Group nu a răspuns nici ea unei solicitări de comentarii despre raportul Citizen Lab înainte de publicare.
În raportul său de vineri, Citizen Lab a spus că Kouloglou a fost spionat în octombrie 2022 și de cel puțin două ori în martie 2023, folosind un exploit care a compromis o vulnerabilitate de securitate în software-ul iPhone al Apple. Această vulnerabilitate fusese corectată, dar corecția nu fusese încă instalată pe telefonul lui Kouloglou. Exploit-ul era o eroare „zero-click”, adică spyware-ul a pătruns și a furat datele fără a necesita nicio interacțiune din partea lui.
Eroarea a abuzat de un defect descoperit anterior în software-ul smart home al Apple folosit în iPhone-uri. A permis spyware-ului să extragă date private de pe telefonul lui Kouloglou fără știrea lui, cum ar fi mesajele text și alte corespondențe, datele de localizare și fotografiile.
Momentul spionării din octombrie 2022 coincide cu discuții intense prin e-mail și mesaje text pe parcursul lunilor octombrie și noiembrie 2022, înainte de livrarea unui prim proiect care descrie abuzurile spyware-ului concentrându-se pe Cipru, Grecia, Ungaria, Polonia și Spania.
Spionarea se aliniază și cu momentul exact în care Kouloglou era în spital pentru o operație programată, ceea ce poate fi permis operatorilor de spyware să asculte audio ambiental discutând despre îngrijirea sa medicală sau alte conversații cu vizitatorii.
Luni mai târziu, pe 6 și 7 martie, Citizen Lab a spus că telefonul lui Kouloglou a fost spionat din nou de același operator Pegasus în timp ce Kouloglou călătorea de la Atena la Bruxelles, într-o perioadă de audieri ale comitetului și cu luni înainte ca comitetul să finalizeze și să adopte proiectul de raport scris.
Într-un apel, Kouloglou a declarat pentru TechCrunch că nu știe de ce a fost vizat în mod specific, dar crede că a fost din cauza muncii sale în comitetul Parlamentului European care investighează abuzurile Pegasus.
El a descris furia când a aflat că a fost spionat.