Pegasus взломал члена комитета ЕП, расследовавшего сам Pegasus

Citizen Lab обнаружила, что Стелиос Кулоглу, бывший член Европейского парламента и греческий журналист, был взломан с помощью Pegasus во время работы в комитете PEGA, который расследовал именно эту систему наблюдения и другие подобные технологии.
Кулоглу входил в комитет PEGA как заместитель члена с марта 2022 по июль 2023. Комитет был создан после публикации Pegasus Project для изучения использования Pegasus и аналогичного ПО для наблюдения в Европе. Кулоглу, известный греческий журналист, ранее работал в московском корреспондентском отделении, работал в Югославии и основал телестудию TVXS.
Форензический анализ его iPhone выявил две успешные инфекции Pegasus:
- 21 октября 2022 года, когда готовились слушания комитета и обсуждались первые проекты доклада. Взлом произошел через PWNYOURHOME эксплойт с использованием HomeKit при iOS 15.5.
- 6, 7 марта 2023 года, когда PEGA был в разгаре финальной подготовки доклада. В этот период Кулоглу находился в Брюсселе.
Исследователи с высокой уверенностью определили, что злоумышленники могли получить доступ к конфиденциальным документам комитета и его закрытым обсуждениям. Citizen Lab также обнаружила, что Кулоглу получал от Apple уведомления об угрозах (March 2, 2023; August 29, 2023; April 10, 2024), но они приходили с задержкой в месяцы.
Это первый случай, когда член комитета PEGA публично идентифицирован как жертва Pegasus. Хотя другие члены ЕП ранее подвергались взлому (например, четверо каталонских депутатов), Кулоглу был первым, кого взломали именно во время работы в расследовательском комитете.
Лаборатория не приписывает атаку греческому правительству (которое не числится клиентом NSO Group). Вместо этого исследователи находят связь с известной кампанией Pegasus против журналистов и активистов из России и Беларуси, работающих в Европе, что предполагает причастность NSO-клиента с правами на несколько европейских стран.
Ключевые факты
- Бывший член европарламента Кулоглу, входивший в комитет PEGA по расследованию Pegasus, был дважды взломан той же системой во время работы в комитете (октябрь 2022, март 2023)
- Взлом произошел в критические моменты: перед слушаниями и подготовкой первого доклада комитета, затем во время финальной редакции отчета
- Злоумышленники получили доступ к конфиденциальным документам комитета и его закрытым обсуждениям, что нарушает парламентскую конфиденциальность
- Citizen Lab не приписывает атаку греческому правительству, но находит связь с кампаниями Pegasus против русскоязычных журналистов и активистов в Европе
- Это первый публичный случай взлома члена расследовательского комитета Pegasus тем же самым Pegasus, контрпример шпионажа
Почему это важно
Это демонстрирует беззубость европейских органов надзора. Комитет был создан специально для расследования Pegasus, и его члены были взломаны той же системой, о которой они докладывали. Это ставит под вопрос парламентский иммунитет и конфиденциальность переговоров в ЕП. Если Pegasus может проникнуть в закрытые комитеты Европейского парламента, это означает, что ни один европейский актер не защищен от наблюдения, если у противника есть лицензия NSO.
Кому это важно
Европейским политикам, журналистам и активистам в ЕС, особенно в странах, где действуют клиенты Pegasus (Польша, Венгрия, Греция, Испания, Кипр, страны, на которые нацелился комитет). Также это имеет значение для государств, у которых нет собственной лицензии NSO, но которые соседствуют с теми, кто имеет. И это относится к любому, кто верит в конфиденциальность парламентской работы.
Как это применить
Сигнал для европейских органов власти: если даже члены расследовательского комитета не защищены, нужна полная переоценка циклов развертывания Pegasus в Европе. Технически это означает: проверка всех устройств членов ЕП на заражение, аудит конфиденциальных документов комитетов на предмет утечек, пересмотр процедур кибербезопасности. На уровне политики, требование к NSO или запрет на продажу лицензий странам, которые демонстрируют злоупотребления. Для журналистов и активистов, усиленная проверка устройств и использование воздушного зазора (air-gapped) инструментов при работе с критически важными документами.
Можно ли доверять
Данные получены от Citizen Lab, авторитетной организации, которая проводит независимую форензику. Анализ Кулоглу проведен на его собственном iPhone с помощью стандартных артефактов (HomeKit логи, процессы, уведомления Apple). Apple подтверждает отправку уведомлений об угрозах. Косвенное подтверждение: Кулоглу находился в госпитале на день взлома (проверяемый факт), встречался с другим журналистом Кукакисом (тот ранее был определен как цель Pegasus). Не подтверждено только прямое авторство, но следов преступления достаточно.
Риски и подводные камни
Citizen Lab не идентифицировала точного клиента NSO, только заметила пересечение с другой кампанией. Невозможно исключить другие государства, имеющие ту же лицензию. Само приложение Apple по отправке уведомлений об угрозах ненадежно, они приходят с месячной задержкой, поэтому Кулоглу не заметил атаку вовремя. Дополнительный риск: даже если вычислить конкретного клиента, NSO утверждает, что не несет ответственность за злоупотребления своими клиентами. Возможны и ложноположительные срабатывания форензики, но Citizen Lab работала с высокой уверенностью.
«Мы обнаружили с высокой уверенностью, что его устройство было успешно заражено Pegasus на Хэллоуин 21 октября 2022 года, а затем снова 6 и 7 марта 2023 года.»
— Citizen Lab (перевод)