1 pontos por GN⁺ 6 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Foi confirmado que o iPhone de Stelios Kouloglou, ex-deputado do Parlamento Europeu e ex-jornalista investigativo grego, foi infectado repetidamente pelo Pegasus durante seu período de atuação no comitê PEGA
  • Os momentos da infecção foram 21 de outubro de 2022 e 6 a 7 de março de 2023, coincidindo com períodos de intensa comunicação confidencial, como audiências, rascunhos de relatórios e preparativos para visitas a países
  • A primeira infecção está ligada a vestígios de uso de dados móveis por um processo do Pegasus logo após a consulta ao e-mail HomeKit rauharepo888[@]gmail.com, sendo avaliada como exploração zero-click PWNYOURHOME
  • Nenhum governo específico foi apontado como responsável, e também não há sinais que indiquem responsabilidade do governo grego, mas o mesmo e-mail HomeKit também apareceu em campanhas do Pegasus contra jornalistas exilados e ativistas de língua russa e belarussa
  • Sem uma inspeção abrangente dos dispositivos de membros e funcionários do Parlamento Europeu, é difícil determinar o quanto as comunicações confidenciais do comitê PEGA e os procedimentos parlamentares ficaram expostos a spyware mercenário

Infecções por Pegasus identificadas durante as atividades do comitê PEGA

  • Stelios Kouloglou é um político grego, ex-jornalista investigativo, que entrou no Parlamento Europeu em 2015
  • De 24 de março de 2022 a 18 de julho de 2023, atuou como membro suplente do comitê PEGA do Parlamento Europeu, que investigava o uso do Pegasus e de spywares de vigilância semelhantes
  • O comitê PEGA foi criado em 10 de março de 2022, após o Pegasus Project de 2021 e reportagens relacionadas, em meio a denúncias de que governos europeus haviam espionado jornalistas, ativistas, políticos e cidadãos
  • A missão do comitê era investigar a extensão do uso de spyware em violação da legislação da UE, e o objeto da investigação era “Pegasus and equivalent surveillance spyware”

Resultados da perícia no iPhone

  • Em maio de 2026, Kouloglou entrou em contato com o Citizen Lab, e a análise forense de artefatos do iPhone confirmou a infecção pelo Pegasus
  • Os momentos de infecção confirmados com alto grau de confiança foram por volta de 21 de outubro de 2022 e 6 a 7 de março de 2023
  • Infecção de 21 de outubro de 2022

    • Às 10:16, houve uma consulta ao endereço de e-mail HomeKit rauharepo888[@]gmail.com, e dois minutos depois um processo do Pegasus usou dados móveis
    • Essa infecção foi avaliada como um ataque por meio do exploit zero-click PWNYOURHOME
    • O PWNYOURHOME parece funcionar com o envio de um NSKeyedArchive especialmente criado para o HomeKit pelo atacante, fazendo com que conteúdo malicioso chegue depois ao MessagesBlastDoorService
    • A Apple mitigou o problema relacionado ao HomeKit no iOS 16.3.1, e o problema no MessagesBlastDoorService teria sido corrigido antes, provavelmente no iOS 16.1
  • Infecção de 6 a 7 de março de 2023

    • Também foi identificada atividade do Pegasus entre 09:49 de 6 de março de 2023 e 07:30 de 7 de março, possivelmente ligada ao mesmo exploit
    • Avalia-se que o dispositivo estava executando iOS 15.5 (19F77) tanto durante a infecção de 2022 quanto na de 2023
    • Devido às limitações dos dados forenses disponíveis, não se pode descartar outras infecções que não tenham sido detectadas

Alertas de ameaça da Apple e o problema de percepção do usuário

  • A análise forense indica que Kouloglou recebeu três alertas de ameaça da Apple sobre direcionamento por spyware mercenário
    • 2 de março de 2023
    • 29 de agosto de 2023
    • 10 de abril de 2024
  • Alertas de ameaça da Apple e de outras empresas não são avisos em tempo real e, em geral, costumam ser enviados em lote muitos meses depois da ação de direcionamento
  • Kouloglou afirmou não se lembrar de ter recebido os alertas da Apple observados
  • Mesmo alvos que recebem vários alertas de ameaça podem, na prática, não perceber isso

Momento da primeira infecção: coincidiu com rascunho de relatório, audiências e preparativos para visitas a países

  • A primeira infecção, em 21 de outubro de 2022, coincidiu com um período especialmente intenso das deliberações e investigações do comitê PEGA
  • Logo após a infecção, estavam previstas as seguintes audiências
    • “Big Tech and Spyware” — 26 de outubro de 2022
    • “Spyware and e-privacy” — 26 de outubro de 2022
    • Audiência sobre spyware e direitos fundamentais — 27 de outubro de 2022
  • O comitê também estava preparando a apresentação do primeiro rascunho do relatório, que circulava e era discutido entre os membros e seus assessores
  • Kouloglou confirmou que a data da primeira infecção coincidiu com um período de discussão e troca intensas centradas em mensagens de texto e e-mails
  • O primeiro rascunho de relatório do comitê PEGA foi apresentado em 8 de novembro de 2022 pela deputada Sophie in ’t Veld
    • O rascunho abordava suspeitas de uso de spyware na Polônia, Hungria, Grécia, Chipre e Espanha
  • O comitê PEGA também estava preparando visitas à Grécia e ao Chipre entre 1 e 4 de novembro de 2022, e Kouloglou participou do planejamento e da visita
  • O dispositivo foi hackeado 10 dias antes do início dessa visita, quando ainda havia comunicações em andamento sobre ela

Infecção no hospital e possível exposição de informações médicas

  • No dia da infecção, 21 de outubro de 2022, Kouloglou estava internado em um hospital grego para uma cirurgia eletiva
  • O jornalista investigativo grego Thanasis Koukakis foi visitá-lo no quarto
    • Koukakis é uma figura que cobre de perto a questão do spyware mercenário na Grécia
    • Ele havia testemunhado no comitê PEGA no mês anterior
    • Em março de 2022, o Citizen Lab confirmou que Koukakis havia sido alvo do spyware Predator, da Intellexa
  • Como a infecção ocorreu durante a internação, há possibilidade de que informações de saúde tenham sido interceptadas do dispositivo, como conversas no quarto, conversas com a equipe médica, agendamentos, resultados de exames e diagnósticos
  • Pela legislação grega, dados relacionados à saúde são uma categoria especial de dados pessoais com proteção reforçada, e o hack pode ter implicações sob o direito penal grego em relação à proteção do sigilo de informações médicas prevista na Law 4624/2019

Momento da segunda infecção: coincidiu com discussões sobre o relatório final

  • A segunda infecção ocorreu em 6 a 7 de março de 2023
  • Segundo Kouloglou, nesse período o comitê PEGA conduzia discussões intensas relacionadas ao processo de redação do rascunho final
  • Kouloglou viajou de Atenas para Bruxelas em 6 de março de 2023 e estava em Bruxelas durante o período da infecção, em 6 e 7 de março
  • No mesmo período, a relatora do PEGA, Sophie in ’t Veld, estava na Grécia em missão do comitê LIBE
    • O comitê LIBE é uma comissão permanente do Parlamento Europeu responsável por legislação e supervisão democrática em temas como direitos humanos, proteção de dados, asilo, imigração e combate à discriminação
    • Nessa missão, a delegação do LIBE questionou o diretor e autoridades da National Transparency Authority da Grécia sobre o escândalo do spyware no país
  • Depois da segunda infecção, seguiram-se audiências do PEGA e uma visita de investigação à Espanha, mas Kouloglou não participou da visita à Espanha
  • Essa infecção ocorreu cerca de dois meses antes da adoção do primeiro relatório do comitê PEGA, em 8 de maio de 2023
  • Kouloglou e Thanasis Koukakis chegaram a planejar provisoriamente um encontro por WhatsApp por volta de 6 a 7 de março de 2023, mas o encontro presencial não aconteceu

Casos de spyware contra membros do Parlamento Europeu

  • Kouloglou é o primeiro membro do comitê PEGA confirmado publicamente como vítima do Pegasus durante seu período na comissão
  • Já havia casos públicos envolvendo deputados do Parlamento Europeu antes mesmo da criação do comitê PEGA
    • O dispositivo da eurodeputada catalã Diana Riba foi infectado em outubro de 2019
    • O eurodeputado catalão Jordi Solé foi alvo em junho de 2020, pouco antes de assumir sua cadeira no Parlamento Europeu
    • Clara Ponsati e Carles Puigdemont foram alvo por meio de assessores ou familiares
  • Riba, Solé e Puigdemont depois participaram do comitê PEGA e relataram suas experiências perante o próprio comitê
  • Também houve casos envolvendo o Parlamento Europeu fora do âmbito do PEGA
    • Em fevereiro de 2024, o Politico noticiou que membros da subcomissão de segurança e defesa foram orientados a solicitar inspeções em seus celulares após a descoberta de vestígios de spyware em dois dispositivos
    • A eurodeputada francesa Nathalie Loiseau confirmou ter sido alvo do Pegasus
    • O IT Services do Parlamento Europeu informou à eurodeputada búlgara Elena Yoncheva que seu dispositivo havia sido alvo no fim de outubro de 2023
    • Em maio de 2024, o eurodeputado alemão Daniel Freund anunciou ter sido alvo de spyware mercenário da Candiru

Atribuição e limitações remanescentes

  • A conclusão de que o dispositivo de Kouloglou foi alvo e foi infectado pelo spyware mercenário Pegasus do NSO Group tem alto grau de confiança
  • Nenhum cliente específico do NSO Group foi apontado como responsável
  • Não há indícios de que o governo grego tenha sido o autor desse hack
    • Não há relatos de que a Grécia tenha sido cliente do NSO Group ou usuária do Pegasus
    • Embora seja conhecido que o governo grego abusou amplamente do spyware mercenário Predator, da Intellexa, não existem indicadores técnicos de que os serviços de segurança e inteligência gregos tivessem acesso ao Pegasus
  • Há uma ligação entre o direcionamento de Kouloglou em 2022 e o direcionamento descrito no relatório conjunto do Access Now de maio de 2024
    • Esse relatório trata de sete jornalistas independentes e ativistas da oposição de língua russa e belarussa baseados na Europa que foram alvo ou infectados pelo Pegasus
    • Um dos Apple IDs anonimizados no relatório, rauharepo888[@]gmail.com, é o mesmo e-mail HomeKit usado contra Kouloglou
    • Com base no entendimento atual da infraestrutura de infecção do Pegasus nesse período, esse tipo de e-mail é considerado exclusivo de um operador específico
  • Não é possível determinar se a segunda infecção, em 2023, está ligada ao mesmo operador ou a outro
  • As infecções parecem ter ocorrido em pelo menos duas jurisdições europeias: Grécia e Bélgica
  • Com base no conhecimento existente sobre as licenças do NSO Group, isso sugere a possibilidade de um cliente com licença que permita infecções em múltiplas jurisdições da UE

Impacto sobre processos democráticos e sigilo parlamentar

  • A infecção do dispositivo de um membro do comitê PEGA significa que comunicações estritamente confidenciais e procedimentos parlamentares sensíveis podem ter sido expostos durante as atividades da comissão
  • Entre os dados potencialmente expostos podem estar comunicações entre integrantes e assessores do comitê PEGA, bem como procedimentos sensíveis relacionados às partes que o comitê investigava
  • Como não se conhece o estado dos dispositivos de outros membros e assessores do comitê PEGA, sem uma inspeção abrangente não há como verificar se houve infecções semelhantes
  • Este caso revela a ameaça que o spyware mercenário representa para a integridade dos processos democráticos
  • Não é a primeira vez que dispositivos de membros do Parlamento Europeu são alvo ou são hackeados com spyware mercenário, o que mostra o caráter corrosivo do hacking mercenário não regulamentado

Recomendações

  • Instituições da UE devem iniciar imediatamente uma investigação para determinar o alcance e a escala das violações de dados e de procedimentos da UE
  • MEPs e assessores

    • MEPs e assessores que participaram do comitê PEGA devem passar imediatamente por inspeção forense de infecção por spyware e preservar dispositivos de trabalho e pessoais que possam ter sido alvo
    • A Directorate-General for Information Technologies and Cybersecurity (DG ITEC) oferece inspeções de spyware
    • É preciso prestar atenção a alertas de ataques apoiados por Estados e, ao recebê-los, buscar rapidamente apoio especializado
    • MEPs da UE devem ativar o Lockdown Mode no iPhone e a Advanced Protection no Android
    • Esse modo aumenta significativamente a proteção do dispositivo contra spyware mercenário
    • A DG ITEC pode fornecer orientações adicionais de cibersegurança
  • Parlamento Europeu e instituições da UE

    • O Parlamento Europeu deve investigar imediatamente ataques de spyware contra MEPs e contra os procedimentos parlamentares
    • Como se trata de ataques antigos, é necessária uma investigação rápida para evitar a perda de vestígios forenses
    • O Parlamento deve encomendar um relatório anual sobre ameaças cibernéticas e de vigilância contra o Parlamento e seus membros
    • O documento pode ser elaborado pelo European Parliamentary Research Service ou por outro órgão
    • A DG ITEC deve elaborar um plano para aumentar significativamente a taxa de inspeção de dispositivos e divulgar estatísticas anuais sobre número de aparelhos inspecionados e taxa de descoberta
    • A DG ITEC deve distribuir regularmente orientações específicas a MEPs e assessores sobre alertas de ataques apoiados por Estados emitidos por empresas como Apple e Google
    • A Comissão Europeia deve realizar sua própria investigação e inspeções para verificar se comissários e funcionários foram alvo de spyware mercenário
    • A DG DIGIT da Comissão deve construir uma capacidade abrangente de inspeção e resposta a spyware, com verificações regulares
  • PACE, parlamentos nacionais e empresas de tecnologia

    • A Parliamentary Assembly of the Council of Europe (PACE) deve, considerando atividades anteriores de comissões sobre abuso de spyware mercenário na Europa, investigar se seus membros e funcionários foram alvo
    • A Directorate of Information Technology do Conselho deve consultar instituições parceiras e verificar regularmente sinais de direcionamento por spyware mercenário contra membros e funcionários da PACE
    • Serviços de segurança e órgãos de supervisão de parlamentos nacionais devem proteger parlamentares tomando como referência o modelo de técnicas de inspeção da DG ITEC
    • Empresas de tecnologia devem melhorar a forma como enviam alertas, incluindo pesquisas de UX, para garantir que os destinatários realmente vejam, compreendam e consigam agir diante dos avisos

1 comentários

 
GN⁺ 6 시간 전
Comentários do Hacker News
  • Em maio de 2026, Kouloglou entrou em contato com o Citizen Lab, e uma análise forense dos vestígios encontrados em seu iPhone indicou, com alto grau de confiança, que houve infecções bem-sucedidas pelo spyware Pegasus por volta de 21 de outubro de 2022 e em 6–7 de março de 2023

    • Fico curioso se nós também poderíamos fazer uma análise forense do próprio celular para verificar se fomos alvos de alguém com Pegasus
    • O ponto central parece ser a explicação de que os alertas de ameaça da Apple não são em tempo real e, normalmente, são enviados em lote meses ou mais depois de um ataque direcionado
      Kouloglou disse que não se lembra de ter recebido o alerta da Apple confirmado pelo Citizen Lab; fico em dúvida se isso deve ser entendido como: a Apple avisou que ele estava sendo vigiado, mas ele ignorou
  • É chocante que os alertas de ameaça da Apple e de outras empresas não sejam em tempo real e que, em geral, sejam enviados em conjunto meses ou mais depois de ataques direcionados
    Se isso significa que a Apple consegue detectar ameaças, mas não as remove nem as bloqueia, e fica meses em silêncio antes de avisar o usuário, não sei o que seria isso se não teatro de segurança

  • É interessante que a primeira infecção se sobreponha a uma campanha anterior do Pegasus contra jornalistas e ativistas russófonos e bielorrussófonos exilados na Europa
    A pergunta é quem é o cliente do Pegasus com “autoridade para vigiar em vários países europeus”
    Um texto anterior [0] sobre os casos mencionados de exilados russos diz que os Países Baixos e a Estônia usaram Pegasus fora de suas fronteiras, mas pode haver mais lugares com esse tipo de licença
    Se os casos dos exilados russos e o de Kouloglou estiverem ligados pelo mesmo método de ataque, um país como a Estônia parece mais plausível. Ainda assim, sempre existe a possibilidade de que uma agência com acesso ao Pegasus tenha colaborado com outra sem autorização, ou o tenha usado em nome dela
    [0] https://www.accessnow.org/publication/hacking-meduza-pegasus...

  • Acho que talvez seja um problema de escolhas de arquitetura de software, como um grande kernel monolítico, serviços desnecessários de telemetria e marketing, APIs legadas, linguagens inseguras como C e falta de análise estática
    Celulares já deveriam ser tratados como território contaminado, e nada importante deveria ficar neles
    Alguns líderes simplesmente não usam smartphones e, por isso, ficam protegidos contra spyware eletrônico

    • É difícil, porque smartphones são usados para autenticação de dois fatores, e nem todos os serviços oferecem interface web
      Alguns bancos, chats, apps de relacionamento e serviços como Uber só funcionam no celular
  • Naquela época, os celulares de muitos políticos gregos foram hackeados com Pegasus
    Na Grécia, isso ainda é um escândalo não totalmente resolvido, e todas as evidências apontam para uma operação conduzida pelo gabinete do primeiro-ministro em coordenação com a agência de inteligência local
    Por isso, acho difícil chamar isso de ataque ao Parlamento Europeu

  • O interessante é que isso sugere que tanto informações médicas pessoais confidenciais quanto documentos governamentais sigilosos podem ter vazado pelo mesmo celular
    O Parlamento Europeu não tem uma política de separar dispositivos de trabalho e pessoais?

    • Ter uma política e o que de fato acontece na prática são, na maioria das vezes, coisas bem diferentes
      É compreensível, considerando como o horário de trabalho e o tempo pessoal frequentemente se misturam
    • Pelo que entendi, a preocupação é que ele tenha levado ao hospital o celular de trabalho infectado, e esse telefone possa ter gravado conversas contendo informações médicas pessoais
      As informações médicas não estavam dentro do celular
  • Eurodeputados catalães também foram alvo do Pegasus; não lembro os detalhes, mas na época os clientes eram apenas Estados, então a Espanha basicamente contratou o serviço
    Nada aconteceu

  • Em breve, provavelmente vão criar às pressas uma lei para obrigar alguém a fazer alguma coisa, ou aplicar uma multa enorme em alguém e encerrar o assunto rapidamente
    Alguém precisa ser responsabilizado

  • O Lockdown Mode do iOS conseguiria impedir isso?

    • Provavelmente sim, e esse é o objetivo do Lockdown Mode
      Só que, para reduzir a superfície de ataque, ele intencionalmente transforma o smartphone em algo parecido com um telefone bem burro
      O caso prático é quando você só precisa de um aparelho simples para trocar mensagens, fazer chamadas pela rede telefônica comum e ver as horas
  • Pelo contexto, alguns países europeus abusaram tanto de spyware como o Pegasus que empresas israelenses chegaram a cortar relações com eles; o caso italiano abaixo é um deles
    Outras pessoas também mencionaram Grécia e Polônia
    É irônico que um eurodeputado tenha se tornado alvo do mesmo tipo de vigilância que atinge jornalistas inocentes, ativistas e talvez pessoas comuns
    E isso feito por Estados-membros da UE, contribuindo diretamente para o desenvolvimento e a disseminação de malware por empresas israelenses
    https://www.bbc.com/news/articles/cvgmzdjw24yo

    • Vejo o corte de relações depois da comoção pública mais como controle de danos
      Espero que o produto continue sendo oferecido às mesmas pessoas por meio de outros revendedores subordinados