Lid van het Europees Parlement dat onderzoek doet naar spyware is gehackt met Pegasus

Uit een nieuw rapport van het Citizen Lab is gebleken dat voormalig lid van het Europees Parlement, Stelios Kouloglou, zijn mobiele apparaat herhaaldelijk heeft laten hacken met de beruchte Pegasus-spyware, terwijl hij lid was van een commissie die belast was met het onderzoeken van het misbruik van dergelijke commerciële surveillance-instrumenten in het blok.

“Door forensische analyse van zijn apparaat ontdekten we dat de aanvallers toegang hadden kunnen hebben tot vertrouwelijke documenten en commissieberaadslagingen”, zeiden de Citizen Lab-onderzoekers John Scott-Railton, Bill Marczak, Bahr Abdul Razzak, Kate Pundyk, Siena Anstis en Ron Deibert.

De infecties zijn op dit moment niet toegeschreven aan een bepaalde regering en er is geen bewijs dat de Griekse regering achter de activiteit zit. Het Canadese interdisciplinaire onderzoekslaboratorium merkte echter op dat het een overlap constateerde tussen de eerste infectie en een eerdere campagne gericht tegen Russisch- en Wit-Russisch sprekende verbannen journalisten en activisten in Europa.

Dit geeft aan dat een Pegasus-klant met toestemming om in meerdere Europese landen te spioneren waarschijnlijk verantwoordelijk is voor deze inspanning, voegde het Citizen Lab eraan toe.

Kouloglou was van 24 maart 2022 tot 18 juli 2023 lid van de “Onderzoekscommissie van het Europees Parlement om het gebruik van Pegasus en gelijkwaardige surveillance-spyware te onderzoeken”. De PEGA-commissie werd op 10 maart 2022 opgericht om vermeend misbruik van commerciële spyware-aanbiedingen onder de EU-wetgeving te onderzoeken, waarbij de nadruk specifiek lag op het verzamelen van informatie over de mate waarin lidstaten en andere landen dergelijke tools gebruiken in strijd met de EU-wetgeving. de rechten en vrijheden van de regio.

Het Citizen Lab zei dat uit een forensische analyse van artefacten die in mei 2026 van zijn iPhone zijn verzameld, is gebleken dat deze op of rond 21 oktober 2022 en opnieuw op 6 en 7 maart 2023 is gecompromitteerd met Pegasus-spyware.

“Op 21-10-2022 om 10:16 uur werd er gezocht naar een HomeKit-e-mailadres rauharepo888(@)gmail.com. Twee minuten later gebruikte een Pegasus-proces mobiele data”, legden de onderzoekers uit. Er wordt aangenomen dat een zero-click-exploit in de slimme thuissoftware van Apple, met de codenaam PWNYOURHOME, werd gebruikt om de spyware af te leveren. Het probleem is door Apple verholpen in iOS 16.3.1.

De daaropvolgende Pegasus-activiteit die in maart 2023 werd waargenomen, zou ook dezelfde exploit hebben bewapend. Beide keren draaide Kouloglou’s apparaat iOS 15.5. Uit verdere analyse van de telefoon is gebleken dat Kouloglou drie keer Apple-bedreigingsmeldingen heeft ontvangen over het doelwit van huurlingenspyware: op 2 maart 2023, 29 augustus 2023 en 10 april 2024.

Interessant is dat tijdens de eerste keer dat Kouloglou’s telefoon werd gehackt, hij werd opgenomen in een ziekenhuis voor een electieve operatie en bezoek kreeg van de Griekse onderzoeksjournalist Thanasis Koukakis, die zijn eigen telefoon had gecompromitteerd met Intellexa’s Predator-spyware en een maand eerder voor de PEGA-commissie had getuigd.

De timing van de tweede infectie in maart 2023 is ook veelbetekenend, aangezien deze samenviel met de intense discussies over het definitieve redactieproces, gevolgd door een reeks PEGA-hoorzittingen. Het incident vond plaats twee maanden vóór de goedkeuring van het eerste rapport van de PEGA-commissie.

Deze ontwikkeling markeert de eerste keer dat een lid van de PEGA-commissie publiekelijk wordt geïdentificeerd als slachtoffer van Pegasus-spyware terwijl hij lid was van de commissie.

Het verband tussen de zaak van Kouloglou en de campagne gericht tegen Russisch- en Wit-Russisch sprekende onafhankelijke journalisten en activisten van de oppositie in Europa is gebaseerd op het gebruik van hetzelfde e-mailadres ‘rauharepo888(@)gmail.com’.

“In ons begrip van de Pegasus-infectie-infrastructuur tijdens deze periode zijn we van mening dat deze e-mails uniek zijn voor specifieke operators”, aldus het Citizen Lab. “We kunnen niet zeggen of de tweede infectie in 2023 op dezelfde manier verband houdt met deze operator, of met een andere operator.”

“Gebaseerd op wat we weten over de licenties van NSO Group, zou dit er waarschijnlijk op wijzen dat de klant een licentie had die infecties in meerdere EU-jurisdicties mogelijk maakte, waardoor de lijst van potentiële Pegasus-operators die verantwoordelijk zouden kunnen zijn voor deze zaak kleiner werd.”

De bevindingen roepen nieuwe zorgen op over de manier waarop overheden spyware gebruiken die ogenschijnlijk op de markt wordt gebracht voor de bestrijding van ernstige misdaden, zoals terrorisme en seksueel misbruik van kinderen, voor het bespioneren van de communicatie van journalisten, wetgevers, dissidenten en critici.

De ontwikkeling komt dagen nadat het Citizen Lab onthulde dat de Russische autoriteiten de forensische UFED-tools van Cellebrite gebruikten om in juni 2021 in te breken in de iPhone van de gedetineerde oppositieactivist Andrey Pivovarov, drie maanden nadat Cellebrite had aangekondigd dat het zou stoppen met het aanbieden van zijn tools en diensten aan Rusland en Wit-Rusland.

“De autoriteiten doorzochten de apparaten van Pivovarov op zoek naar belangrijke organisaties en contacten, evenals naar spraakmakende oppositiefiguren”, aldus het Citizen Lab. “Zoektermen omvatten Michail Chodorkovski, die Open Russia heeft opgericht, Anastasiya Burakova, die destijds mensenrechtenadvocaat was bij Open Russia en momenteel leiding geeft aan een prominente anti-oorlogsgroep, en de voormalige coördinator van Open Russia en Pivovarov’s partner, Tatiana Usmanova.”

Sommige van deze personen, waaronder Burakova, werden later het doelwit van een phishing-campagne die werd georkestreerd door een Russische hackgroep die bekend staat als COLDRIVER, waardoor de mogelijkheid ontstond dat het gebruik van de tools van Cellebrite mogelijk heeft bijgedragen aan het vergemakkelijken van verkenningen en het mogelijk maken van verdere targeting en surveillance van andere tegenstanders van het regime in het buitenland.

In april onthulde het Citizen Lab ook twee verschillende, langlopende spionagecampagnes die misbruik maken van bekende zwakheden in de mondiale telecominfrastructuur om de locaties van mensen te volgen. Deze aanvallen vereisen met name geen inzet van malware, waardoor ze onopvallend en moeilijker te detecteren zijn.

Eén van de twee campagnes werkte door een speciaal type sms-bericht met kwaadaardige verborgen sms-opdrachten naar doelen te sturen in een poging “het apparaat in een geheim volgbaken te veranderen”, aldus het rapport. De tweede campagne was gebaseerd op zwakke punten in de signaalprotocollen Signaling System No. 7 (SS7) en Diameter om de verblijfplaats van een individu te volgen zonder dat toegang tot zijn apparaten nodig was.

Er wordt gezegd dat de twee campagnes misbruik hebben gemaakt van drie specifieke telecomproviders, namelijk 019Mobile, Airtel Jersey (onderdeel van Sure Group) en Tango Networks UK, die fungeren als ‘bewakingstoegangs- en doorvoerpunten binnen het telecommunicatie-ecosysteem’ en ‘verkeer door vertrouwde signaalverbindingen kunnen laten bewegen terwijl ze toegang verlenen aan bedreigingsactoren die zich achter hun infrastructuur verschuilen’.

“Beide actoren gebruikten aangepaste surveillancetools om de identiteit van operators te vervalsen, signaalprotocollen te manipuleren en verkeer via specifieke onderling verbonden netwerkpaden te sturen om verdedigingen te omzeilen en attributie te maskeren”, aldus de organisatie voor digitale rechten.

“De bevindingen laten zien hoe vermoedelijke commerciële surveillanceleveranciers (CSV’s) het wereldwijde telecom-interconnect-ecosysteem exploiteren, particuliere operatornetwerken benutten en geheime locatietraceringsoperaties uitvoeren die jarenlang onopgemerkt kunnen blijven bestaan.”

Thijs Van der Does