Vysoký úradník, ktorý vyšetroval spyware Pegasus lomcujúci Európou, mal sám hacknutý telefón
Gréckeho europoslanca Steliosa Koulogloua hackli Pegasom počas práce vo výbore PEGA, ktorý vyšetroval zneužívanie spywaru v Európe.
Grécky europoslanec Stelios Kouloglou pôsobil vo výbore, ktorý mal preskúmať zneužívanie špionážneho softvéru Pegasus v Európe. Počas tejto práce sa podľa Citizen Lab stal terčom práve Pegasu. Forenzná analýza jeho iPhonu ukázala s vysokou mierou istoty dve úspešné infekcie, ktoré mohli útočníkom otvoriť prístup k dôverným dokumentom, komunikácii aj zákulisným rokovaniam výboru.
Útoky prišli v najcitlivejších momentoch vyšetrovania
Kouloglou bol od marca 2022 do júla 2023 náhradným členom výboru PEGA. Ten vznikol po zisteniach projektu Pegasus Project a ďalších investigatívnych odhaleniach, podľa ktorých európske vlády využívali komerčný spyware proti novinárom, aktivistom, politikom a ďalším občanom. Úlohou výboru bolo zistiť, či sa Pegasus a podobné nástroje používali v rozpore s právom EÚ.
Citizen Lab tvrdí, že Kouloglouov iPhone bol úspešne infikovaný okolo 21. októbra 2022 a následne znovu medzi 6. a 7. marcom 2023. Výskumníci zároveň upozorňujú, že dostupné forenzné dáta nemusia zachytiť všetko. Tieto dve infekcie sú potvrdené, no zásahov mohlo byť viac.
Prvý útok prišiel práve v čase, keď mal výbor PEGA pred sebou jednu z najdôležitejších fáz práce. O pár dní neskôr nasledovali vypočutia o vzťahu technologických firiem k spyware, o súkromí v elektronickej komunikácii aj o tom, ako sledovanie zasahuje do základných práv. Popri tom sa pripravoval prvý návrh správy, ktorý riešil podozrenia zo zneužívania spywaru v Poľsku, Maďarsku, Grécku, na Cypre a v Španielsku.

Kouloglou potvrdil, že v tom čase prebiehala intenzívna komunikácia cez správy a e-maily. Prvý draft správy odovzdala spravodajkyňa výboru Sophie in ’t Veld 8. novembra 2022. Výbor zároveň plánoval novembrové pracovné návštevy Grécka a Cypru. Kouloglou sa podieľal na ich príprave a zúčastnil sa ich ako súčasť rokovaní PEGA výboru. Telefón mu teda hackli desať dní pred cestou, keď sa riešili praktické detaily aj politicky citlivé kontakty.
Neprehliadni
Druhý útok v marci 2023 prišiel počas finálneho dolaďovania správy. Kouloglou cestoval 6. marca z Atén do Bruselu a počas oboch dní infekcie bol v Bruseli. V tom istom čase bola Sophie in ’t Veld v Grécku ako súčasť misie výboru LIBE, ktorý sa venuje občianskym slobodám, spravodlivosti a ochrane osobných údajov. Delegácia sa tam pýtala aj na grécku spyware kauzu. Útočníci tak mohli získať prístup k informáciám práve v čase, keď sa rozhodovalo o finálnej podobe dokumentu.
PWNYOURHOME: útok cez služby Apple bez kliknutia
Prvý známy útok Citizen Lab spája s exploitom PWNYOURHOME. Ide o takzvaný zero-click útok, teda útok, pri ktorom obeť nemusí kliknúť na odkaz, otvoriť prílohu ani nič potvrdiť. Telefón dostane špeciálne pripravené dáta cez služby Apple a zvyšok prebehne potichu na pozadí.
V logoch sa 21. októbra 2022 o 10:16 objavilo podozrivé vyhľadanie HomeKit e-mailovej adresy rauharepo888[@]gmail.com. O dve minúty neskôr už proces Pegasus využíval mobilné dáta. Podľa Citizen Lab útok najprv využil škodlivý NSKeyedArchive cez HomeKit a následne škodlivý obsah v službe MessagesBlastDoorService. Telefón mal v čase oboch známych infekcií iOS 15.5. Apple neskôr tieto slabiny zmiernil v novších verziách systému.
Kouloglou pritom dostal aj varovania od Apple. Podľa forenznej analýzy mu spoločnosť poslala notifikácie o možnom útoku mercenary spyware trikrát — 2. marca 2023, 29. augusta 2023 a 10. apríla 2024. Kouloglou však uviedol, že si ich nepamätá. Tu treba ale zároveň povedať, že takéto upozornenia nie sú poplach v reálnom čase. Apple ich zvyčajne posiela vo vlnách, často až mesiace po samotnom útoku.
Stretnutie dvoch cieľov v nemocnici
Kouloglou bol 21. októbra 2022 v nemocnici na plánovanom zákroku. V izbe ho navštívil grécky investigatívny novinár Thanasis Koukakis, ktorý sa roky venuje kauzám komerčného sledovania v Grécku. Citizen Lab už v marci 2022 potvrdil, že Koukakis bol sám terčom spywaru Predator od firmy Intellexa.

Koukakis v tom čase podával sťažnosti na grécke úrady a mesiac pred návštevou vypovedal pred výborom PEGA. Ak Pegasus zachytával rozhovory v nemocničnej izbe, komunikáciu s lekármi, termíny vyšetrení, výsledky alebo iné zdravotné údaje, nejde už len o politickú špionáž. Mohlo ísť aj o zásah do mimoriadne citlivej kategórie osobných dát, ktoré grécke právo chráni prísnejšie než bežné informácie.
Kto si Pegasus objednal, stále nie je jasné
Citizen Lab priamo neobviňuje grécku vládu. Výslovne uvádza, že nenašiel dôkazy, ktoré by na ňu v tomto prípade ukazovali. Zároveň však upozorňuje na zhodu s operátorom, ktorý bol v minulosti spájaný s hackovaním ruských a bieloruskojazyčných exilových novinárov a aktivistov pôsobiacich v Európe.
Práve to robí celý prípad nepríjemným. Nejde len o napadnutý telefón jedného politika. Kouloglou je prvým verejne potvrdeným členom výboru PEGA, ktorého zariadenie bolo infikované Pegasom počas práce výboru. V minulosti boli terčom aj ďalší europoslanci, vrátane katalánskych politikov a členov bezpečnostného a obranného podvýboru. Tento prípad je však iný v tom, že zásah prišiel priamo počas vyšetrovania nástroja, ktorý mal výbor dostať pod kontrolu.
Výbor mal sledovanie odhaľovať. Namiesto toho sa ukázalo, že sledovanie mohlo zasiahnuť aj jeho vlastné zákulisie. Rozsah kompromitácie celého výboru preto zostáva neznámy, kým forenznou analýzou neprejdú aj zariadenia ostatných členov a ich asistentov.