Дослідники з безпеки підтвердили, що європейському політику зламали телефон за допомогою шпигунського ПЗ Pegasus у той час, коли він працював у слідчому комітеті, що розслідував зловживання цим сумнозвісним інструментом стеження. Це знову розпалило дискусію про те, як уряди зловживають шпигунським ПЗ для збору інформації про своїх критиків.

Дослідники з підрозділу цифрових прав Citizen Lab Університету Торонто заявили, що підтверджений злам телефону грецького журналіста та колишнього політика Стеліоса Кулоглу у 2022–2023 роках став першим публічним випадком, коли член комітету Європарламенту PEGA, який розслідує атаки із застосуванням шпигунських програм урядами європейських країн, сам був визнаний жертвою шпигунського ПЗ.
Кулоглу сказав у телефонній розмові з TechCrunch, що навмисний злам його телефона був «безрозсудним». Один із чинних депутатів Європарламенту назвав хакерську атаку на телефон Кулоглу «прямим ударом по верховенству права» та закликав Єврокомісію вжити конкретних заходів, запровадивши жорсткі обмеження на використання шпигунського ПЗ у 27 країнах-членах ЄС.
Хоча атаки шпигунським ПЗ на законодавців трапляються рідко, час і характер націлювання на члена слідчого комітету саме тим інструментом, який він вивчав, свідчать про підвищену зацікавленість у внутрішній роботі комітету напередодні очікуваного звіту з висновками його розслідування. Ці злами знову ставлять питання про те, як уряди застосовують шпигунське ПЗ, яке нібито потрібне для боротьби з тяжкою злочинністю, але врешті виявляється задіяним для стеження за журналістами, політиками та критиками.
У Citizen Lab не приписали злам конкретній державі, але зазначили, що урядовий замовник використав ту саму електронну адресу, пов’язану з Pegasus, що і в попередній кампанії проти журналістів по всій Європі. Особу клієнта не встановлено, однак повторне використання тієї самої адреси для атаки вказує на те, що він мав дозвіл ізраїльської компанії NSO Group застосовувати шпигунське ПЗ Pegasus для стеження за телефонами у кількох європейських країнах.
Представник Європейської комісії не відповів на запит TechCrunch про коментар. NSO Group також не надала коментар щодо звіту Citizen Lab до моменту його публікації.
У своєму звіті, оприлюдненому в п’ятницю, Citizen Lab стверджує, що телефон Кулоглу зламали в жовтні 2022 року і щонайменше двічі в березні 2023 року з використанням експлойту, який скористався вразливістю в програмному забезпеченні iPhone. Цю вразливість Apple вже виправила, однак оновлення ще не було встановлене на телефоні Кулоглу. Експлойт був «нуль-кліковим» — шпигунське ПЗ проникло в систему та викрало дані без будь-якої дії з боку користувача.
Баг ґрунтувався на раніше виявленій уразливості в програмному забезпеченні для «розумного дому» Apple, яке використовується в iPhone. Це дозволило шпигунському ПЗ непомітно отримати доступ до приватних даних на телефоні Кулоглу, зокрема до текстових повідомлень та іншого листування, даних про місцеперебування та фотографій.
Час жовтневого зламу 2022 року збігається з інтенсивним листуванням електронною поштою та текстовими повідомленнями впродовж жовтня–листопада 2022 року перед підготовкою першого проєкту доповіді про зловживання шпигунськими програмами, зосередженої на Кіпрі, Греції, Угорщині, Польщі та Іспанії.
Хак також збігся в часі з перебуванням Кулоглу в лікарні на плановій операції, що могло дозволити операторам шпигунського ПЗ підслуховувати навколишній звук — розмови про його лікування або інші діалоги з відвідувачами.
Через кілька місяців, 6 і 7 березня, за даними Citizen Lab, телефон Кулоглу знову зламали оператори Pegasus, коли він їхав з Афін до Брюсселя, в період засідань комітету та за кілька місяців до того, як комітет фіналізував і ухвалив проєкт письмового звіту.
У розмові з TechCrunch Кулоглу сказав, що не знає, чому саме він став мішенню, але вважає, що це пов’язано з його роботою в комітеті Європарламенту з розслідування зловживань Pegasus.
Він описав свій стан, коли дізнався про злам телефона, як гнів.
«Ви усвідомлюєте, що всі ваші персональні дані [забрали] — не лише професійні обміни чи переписка з міністрами, а й дуже приватні речі, щасливі миті та сумні моменти», — розповів він TechCrunch.
Кулоглу заявив, що має намір подати до суду на NSO Group, ізраїльського розробника шпигунського ПЗ. NSO де-факто залишається під забороною в США після указу часів адміністрації Байдена, який заборонив уряду використовувати шпигунські програми, здатні порушувати права людини.
Торік компанія підтвердила, що неназвана американська інвестиційна група вклала в неї десятки мільйонів доларів, ймовірно, в межах спроби реабілітувати бренд NSO, який асоціюється з порушеннями прав людини.
Кулоглу каже, що вирішив публічно розповісти свою історію «заради демократії, прав людини та боротьби з корупцією».
«Корупція стосується всіх», — наголосив він.


