Güvenlik araştırmacıları, Avrupalı bir politikacının, kötü şöhretli gözetleme aracının suistimallerini araştıran bir komitede görev yaparken telefonunun Pegasus casus yazılımıyla hacklendiğini doğruladı. Bu durum, hükümetlerin eleştirmenleri hakkında bilgi toplamak için casus yazılımları kötüye kullanmasıyla ilgili yeni bir tartışma başlattı.

Toronto Üniversitesi'nin dijital haklar birimi The Citizen Lab'deki araştırmacılar, Yunan gazeteci ve eski politikacı Stelios Kouloglou'nun 2022 ve 2023 yıllarında telefonunun hacklendiğini doğruladı. Bu, Avrupa Parlamentosu'nun Avrupa hükümetleri tarafından yapılan telefon casus yazılımı saldırılarını araştırmakla görevli PEGA komitesinin bir üyesinin casus yazılım kurbanı olarak kamuoyuna açıklanan ilk vaka oldu.

Kouloglou, TechCrunch'a yaptığı telefon görüşmesinde telefonunun kasıtlı olarak ele geçirilmesini "pervasızca" olarak nitelendirdi. Görevdeki bir Avrupalı yasa koyucu, Kouloglou'nun telefonunun hacklenmesini "hukukun üstünlüğüne doğrudan bir saldırı" olarak tanımladı ve Avrupa Komisyonu'nu, 27 üyeli blokta casus yazılım kullanımına katı sınırlamalar getirerek somut adımlar atmaya çağırdı.

Casus yazılım saldırıları yasa koyuculara nadiren yapılsa da, bir komite araştırmacısının tam da araştırdığı casus yazılım tarafından hedef alınması, komitenin iç işleyişine yönelik yoğun bir ilgi olduğunu gösteriyor. Bu saldırılar, hükümetlerin görünüşte ciddi suçları tespit etmek için ihtiyaç duyulan casus yazılımları nasıl kullandığına dair yeni soruları gündeme getiriyor.

Citizen Lab araştırmacıları, telefon hacklemesini belirli bir ülkeye atfetmedi ancak hükümet müşterisinin, daha önce Avrupa'daki gazetecilerin telefonlarını hackleyen bir kampanyada kullanılan aynı Pegasus yüklü e-posta adresini kullandığını söyledi. Müşterinin kimliği bilinmiyor ancak aynı saldırı e-posta adresinin yeniden kullanılması, müşterinin NSO Group'un Avrupa'daki birden fazla ülkede telefonları gözetlemek için Pegasus casus yazılımını kullanma yetkisine sahip olduğunu gösteriyor.

Avrupa Komisyonu sözcüsü TechCrunch'ın yorum talebine yanıt vermedi. NSO Group da yayından önce Citizen Lab raporuyla ilgili yorum talebine yanıt vermedi.

Cuma günü yayınlanan raporunda Citizen Lab, Kouloglou'nun Ekim 2022'de ve Mart 2023'te en az iki kez, Apple'ın iPhone yazılımındaki bir güvenlik açığından yararlanan bir istismar kullanılarak hacklendiğini söyledi. Bu güvenlik açığı yamalanmıştı ancak düzeltme henüz Kouloglou'nun telefonuna yüklenmemişti. İstismar, "sıfır tıklama" hatasıydı, yani casus yazılım, onun herhangi bir etkileşimine gerek kalmadan içeri girdi ve verilerini çaldı.

Hata, iPhone'larda kullanılan Apple'ın akıllı ev yazılımında daha önce keşfedilen bir kusuru kötüye kullandı. Casus yazılımın, Kouloglou'nun telefonundan kısa mesajları ve diğer yazışmaları, konum verilerini ve fotoğrafları gibi özel verileri onun bilgisi olmadan almasına izin verdi.

Ekim 2022'deki hacklemenin zamanlaması, Ekim ve Kasım 2022 boyunca e-posta ve kısa mesaj üzerinden yapılan yoğun tartışmalarla, Kıbrıs, Yunanistan, Macaristan, Polonya ve İspanya'ya odaklanan casus yazılım suistimallerini anlatan ilk taslağın tesliminden önceki döneme denk geliyor.

Hackleme ayrıca Kouloglou'nun planlı bir ameliyat için hastanede olduğu zamana denk geldi; bu da casus yazılım operatörlerinin sağlık hizmetleriyle ilgili ortam seslerini veya o sırada ziyaretçileriyle yaptığı diğer konuşmaları dinlemesine izin vermiş olabilir.

Aylar sonra, 6 ve 7 Mart'ta Citizen Lab, Kouloglou'nun telefonunun aynı Pegasus operatörü tarafından, Kouloglou Atina'dan Brüksel'e seyahat ederken, komite duruşmaları döneminde ve komitenin yazılı taslak raporunu sonuçlandırıp kabul etmesinden aylar önce tekrar hacklendiğini söyledi.

Bir telefon görüşmesinde Kouloglou TechCrunch'a neden özellikle hedef alındığını bilmediğini ancak bunun Avrupa Parlamentosu'nun Pegasus suistimallerini araştıran komitesindeki çalışmasından kaynaklandığına inandığını söyledi.

Hacklemeleri öğrendiğinde öfkelendiğini anlattı.