Espionagem contra o Parlamento Europeu: membro da comissão de investigação do Pegasus também foi hackeado
(citizenlab.ca)- Foi confirmado que o iPhone de Stelios Kouloglou, ex-deputado do Parlamento Europeu e ex-jornalista investigativo grego, foi infectado repetidamente pelo Pegasus durante seu período de atuação no comitê PEGA
- Os momentos da infecção foram 21 de outubro de 2022 e 6 a 7 de março de 2023, coincidindo com períodos de intensa comunicação confidencial, como audiências, rascunhos de relatórios e preparativos para visitas a países
- A primeira infecção está ligada a vestígios de uso de dados móveis por um processo do Pegasus logo após a consulta ao e-mail HomeKit
rauharepo888[@]gmail.com, sendo avaliada como exploração zero-click PWNYOURHOME - Nenhum governo específico foi apontado como responsável, e também não há sinais que indiquem responsabilidade do governo grego, mas o mesmo e-mail HomeKit também apareceu em campanhas do Pegasus contra jornalistas exilados e ativistas de língua russa e belarussa
- Sem uma inspeção abrangente dos dispositivos de membros e funcionários do Parlamento Europeu, é difícil determinar o quanto as comunicações confidenciais do comitê PEGA e os procedimentos parlamentares ficaram expostos a spyware mercenário
Infecções por Pegasus identificadas durante as atividades do comitê PEGA
- Stelios Kouloglou é um político grego, ex-jornalista investigativo, que entrou no Parlamento Europeu em 2015
- De 24 de março de 2022 a 18 de julho de 2023, atuou como membro suplente do comitê PEGA do Parlamento Europeu, que investigava o uso do Pegasus e de spywares de vigilância semelhantes
- O comitê PEGA foi criado em 10 de março de 2022, após o Pegasus Project de 2021 e reportagens relacionadas, em meio a denúncias de que governos europeus haviam espionado jornalistas, ativistas, políticos e cidadãos
- A missão do comitê era investigar a extensão do uso de spyware em violação da legislação da UE, e o objeto da investigação era “Pegasus and equivalent surveillance spyware”
Resultados da perícia no iPhone
- Em maio de 2026, Kouloglou entrou em contato com o Citizen Lab, e a análise forense de artefatos do iPhone confirmou a infecção pelo Pegasus
- Os momentos de infecção confirmados com alto grau de confiança foram por volta de 21 de outubro de 2022 e 6 a 7 de março de 2023
-
Infecção de 21 de outubro de 2022
- Às 10:16, houve uma consulta ao endereço de e-mail HomeKit
rauharepo888[@]gmail.com, e dois minutos depois um processo do Pegasus usou dados móveis - Essa infecção foi avaliada como um ataque por meio do exploit zero-click PWNYOURHOME
- O PWNYOURHOME parece funcionar com o envio de um NSKeyedArchive especialmente criado para o HomeKit pelo atacante, fazendo com que conteúdo malicioso chegue depois ao MessagesBlastDoorService
- A Apple mitigou o problema relacionado ao HomeKit no iOS 16.3.1, e o problema no MessagesBlastDoorService teria sido corrigido antes, provavelmente no iOS 16.1
- Às 10:16, houve uma consulta ao endereço de e-mail HomeKit
-
Infecção de 6 a 7 de março de 2023
- Também foi identificada atividade do Pegasus entre 09:49 de 6 de março de 2023 e 07:30 de 7 de março, possivelmente ligada ao mesmo exploit
- Avalia-se que o dispositivo estava executando iOS 15.5 (19F77) tanto durante a infecção de 2022 quanto na de 2023
- Devido às limitações dos dados forenses disponíveis, não se pode descartar outras infecções que não tenham sido detectadas
Alertas de ameaça da Apple e o problema de percepção do usuário
- A análise forense indica que Kouloglou recebeu três alertas de ameaça da Apple sobre direcionamento por spyware mercenário
- 2 de março de 2023
- 29 de agosto de 2023
- 10 de abril de 2024
- Alertas de ameaça da Apple e de outras empresas não são avisos em tempo real e, em geral, costumam ser enviados em lote muitos meses depois da ação de direcionamento
- Kouloglou afirmou não se lembrar de ter recebido os alertas da Apple observados
- Mesmo alvos que recebem vários alertas de ameaça podem, na prática, não perceber isso
Momento da primeira infecção: coincidiu com rascunho de relatório, audiências e preparativos para visitas a países
- A primeira infecção, em 21 de outubro de 2022, coincidiu com um período especialmente intenso das deliberações e investigações do comitê PEGA
- Logo após a infecção, estavam previstas as seguintes audiências
- “Big Tech and Spyware” — 26 de outubro de 2022
- “Spyware and e-privacy” — 26 de outubro de 2022
- Audiência sobre spyware e direitos fundamentais — 27 de outubro de 2022
- O comitê também estava preparando a apresentação do primeiro rascunho do relatório, que circulava e era discutido entre os membros e seus assessores
- Kouloglou confirmou que a data da primeira infecção coincidiu com um período de discussão e troca intensas centradas em mensagens de texto e e-mails
- O primeiro rascunho de relatório do comitê PEGA foi apresentado em 8 de novembro de 2022 pela deputada Sophie in ’t Veld
- O rascunho abordava suspeitas de uso de spyware na Polônia, Hungria, Grécia, Chipre e Espanha
- O comitê PEGA também estava preparando visitas à Grécia e ao Chipre entre 1 e 4 de novembro de 2022, e Kouloglou participou do planejamento e da visita
- O dispositivo foi hackeado 10 dias antes do início dessa visita, quando ainda havia comunicações em andamento sobre ela
Infecção no hospital e possível exposição de informações médicas
- No dia da infecção, 21 de outubro de 2022, Kouloglou estava internado em um hospital grego para uma cirurgia eletiva
- O jornalista investigativo grego Thanasis Koukakis foi visitá-lo no quarto
- Koukakis é uma figura que cobre de perto a questão do spyware mercenário na Grécia
- Ele havia testemunhado no comitê PEGA no mês anterior
- Em março de 2022, o Citizen Lab confirmou que Koukakis havia sido alvo do spyware Predator, da Intellexa
- Como a infecção ocorreu durante a internação, há possibilidade de que informações de saúde tenham sido interceptadas do dispositivo, como conversas no quarto, conversas com a equipe médica, agendamentos, resultados de exames e diagnósticos
- Pela legislação grega, dados relacionados à saúde são uma categoria especial de dados pessoais com proteção reforçada, e o hack pode ter implicações sob o direito penal grego em relação à proteção do sigilo de informações médicas prevista na Law 4624/2019
Momento da segunda infecção: coincidiu com discussões sobre o relatório final
- A segunda infecção ocorreu em 6 a 7 de março de 2023
- Segundo Kouloglou, nesse período o comitê PEGA conduzia discussões intensas relacionadas ao processo de redação do rascunho final
- Kouloglou viajou de Atenas para Bruxelas em 6 de março de 2023 e estava em Bruxelas durante o período da infecção, em 6 e 7 de março
- No mesmo período, a relatora do PEGA, Sophie in ’t Veld, estava na Grécia em missão do comitê LIBE
- O comitê LIBE é uma comissão permanente do Parlamento Europeu responsável por legislação e supervisão democrática em temas como direitos humanos, proteção de dados, asilo, imigração e combate à discriminação
- Nessa missão, a delegação do LIBE questionou o diretor e autoridades da National Transparency Authority da Grécia sobre o escândalo do spyware no país
- Depois da segunda infecção, seguiram-se audiências do PEGA e uma visita de investigação à Espanha, mas Kouloglou não participou da visita à Espanha
- Essa infecção ocorreu cerca de dois meses antes da adoção do primeiro relatório do comitê PEGA, em 8 de maio de 2023
- Kouloglou e Thanasis Koukakis chegaram a planejar provisoriamente um encontro por WhatsApp por volta de 6 a 7 de março de 2023, mas o encontro presencial não aconteceu
Casos de spyware contra membros do Parlamento Europeu
- Kouloglou é o primeiro membro do comitê PEGA confirmado publicamente como vítima do Pegasus durante seu período na comissão
- Já havia casos públicos envolvendo deputados do Parlamento Europeu antes mesmo da criação do comitê PEGA
- O dispositivo da eurodeputada catalã Diana Riba foi infectado em outubro de 2019
- O eurodeputado catalão Jordi Solé foi alvo em junho de 2020, pouco antes de assumir sua cadeira no Parlamento Europeu
- Clara Ponsati e Carles Puigdemont foram alvo por meio de assessores ou familiares
- Riba, Solé e Puigdemont depois participaram do comitê PEGA e relataram suas experiências perante o próprio comitê
- Também houve casos envolvendo o Parlamento Europeu fora do âmbito do PEGA
- Em fevereiro de 2024, o Politico noticiou que membros da subcomissão de segurança e defesa foram orientados a solicitar inspeções em seus celulares após a descoberta de vestígios de spyware em dois dispositivos
- A eurodeputada francesa Nathalie Loiseau confirmou ter sido alvo do Pegasus
- O IT Services do Parlamento Europeu informou à eurodeputada búlgara Elena Yoncheva que seu dispositivo havia sido alvo no fim de outubro de 2023
- Em maio de 2024, o eurodeputado alemão Daniel Freund anunciou ter sido alvo de spyware mercenário da Candiru
Atribuição e limitações remanescentes
- A conclusão de que o dispositivo de Kouloglou foi alvo e foi infectado pelo spyware mercenário Pegasus do NSO Group tem alto grau de confiança
- Nenhum cliente específico do NSO Group foi apontado como responsável
- Não há indícios de que o governo grego tenha sido o autor desse hack
- Não há relatos de que a Grécia tenha sido cliente do NSO Group ou usuária do Pegasus
- Embora seja conhecido que o governo grego abusou amplamente do spyware mercenário Predator, da Intellexa, não existem indicadores técnicos de que os serviços de segurança e inteligência gregos tivessem acesso ao Pegasus
- Há uma ligação entre o direcionamento de Kouloglou em 2022 e o direcionamento descrito no relatório conjunto do Access Now de maio de 2024
- Esse relatório trata de sete jornalistas independentes e ativistas da oposição de língua russa e belarussa baseados na Europa que foram alvo ou infectados pelo Pegasus
- Um dos Apple IDs anonimizados no relatório,
rauharepo888[@]gmail.com, é o mesmo e-mail HomeKit usado contra Kouloglou - Com base no entendimento atual da infraestrutura de infecção do Pegasus nesse período, esse tipo de e-mail é considerado exclusivo de um operador específico
- Não é possível determinar se a segunda infecção, em 2023, está ligada ao mesmo operador ou a outro
- As infecções parecem ter ocorrido em pelo menos duas jurisdições europeias: Grécia e Bélgica
- Com base no conhecimento existente sobre as licenças do NSO Group, isso sugere a possibilidade de um cliente com licença que permita infecções em múltiplas jurisdições da UE
Impacto sobre processos democráticos e sigilo parlamentar
- A infecção do dispositivo de um membro do comitê PEGA significa que comunicações estritamente confidenciais e procedimentos parlamentares sensíveis podem ter sido expostos durante as atividades da comissão
- Entre os dados potencialmente expostos podem estar comunicações entre integrantes e assessores do comitê PEGA, bem como procedimentos sensíveis relacionados às partes que o comitê investigava
- Como não se conhece o estado dos dispositivos de outros membros e assessores do comitê PEGA, sem uma inspeção abrangente não há como verificar se houve infecções semelhantes
- Este caso revela a ameaça que o spyware mercenário representa para a integridade dos processos democráticos
- Não é a primeira vez que dispositivos de membros do Parlamento Europeu são alvo ou são hackeados com spyware mercenário, o que mostra o caráter corrosivo do hacking mercenário não regulamentado
Recomendações
- Instituições da UE devem iniciar imediatamente uma investigação para determinar o alcance e a escala das violações de dados e de procedimentos da UE
-
MEPs e assessores
- MEPs e assessores que participaram do comitê PEGA devem passar imediatamente por inspeção forense de infecção por spyware e preservar dispositivos de trabalho e pessoais que possam ter sido alvo
- A Directorate-General for Information Technologies and Cybersecurity (DG ITEC) oferece inspeções de spyware
- É preciso prestar atenção a alertas de ataques apoiados por Estados e, ao recebê-los, buscar rapidamente apoio especializado
- MEPs da UE devem ativar o Lockdown Mode no iPhone e a Advanced Protection no Android
- Esse modo aumenta significativamente a proteção do dispositivo contra spyware mercenário
- A DG ITEC pode fornecer orientações adicionais de cibersegurança
-
Parlamento Europeu e instituições da UE
- O Parlamento Europeu deve investigar imediatamente ataques de spyware contra MEPs e contra os procedimentos parlamentares
- Como se trata de ataques antigos, é necessária uma investigação rápida para evitar a perda de vestígios forenses
- O Parlamento deve encomendar um relatório anual sobre ameaças cibernéticas e de vigilância contra o Parlamento e seus membros
- O documento pode ser elaborado pelo European Parliamentary Research Service ou por outro órgão
- A DG ITEC deve elaborar um plano para aumentar significativamente a taxa de inspeção de dispositivos e divulgar estatísticas anuais sobre número de aparelhos inspecionados e taxa de descoberta
- A DG ITEC deve distribuir regularmente orientações específicas a MEPs e assessores sobre alertas de ataques apoiados por Estados emitidos por empresas como Apple e Google
- A Comissão Europeia deve realizar sua própria investigação e inspeções para verificar se comissários e funcionários foram alvo de spyware mercenário
- A DG DIGIT da Comissão deve construir uma capacidade abrangente de inspeção e resposta a spyware, com verificações regulares
-
PACE, parlamentos nacionais e empresas de tecnologia
- A Parliamentary Assembly of the Council of Europe (PACE) deve, considerando atividades anteriores de comissões sobre abuso de spyware mercenário na Europa, investigar se seus membros e funcionários foram alvo
- A Directorate of Information Technology do Conselho deve consultar instituições parceiras e verificar regularmente sinais de direcionamento por spyware mercenário contra membros e funcionários da PACE
- Serviços de segurança e órgãos de supervisão de parlamentos nacionais devem proteger parlamentares tomando como referência o modelo de técnicas de inspeção da DG ITEC
- Empresas de tecnologia devem melhorar a forma como enviam alertas, incluindo pesquisas de UX, para garantir que os destinatários realmente vejam, compreendam e consigam agir diante dos avisos
1 comentários
Comentários do Hacker News
Em maio de 2026, Kouloglou entrou em contato com o Citizen Lab, e uma análise forense dos vestígios encontrados em seu iPhone indicou, com alto grau de confiança, que houve infecções bem-sucedidas pelo spyware Pegasus por volta de 21 de outubro de 2022 e em 6–7 de março de 2023
Kouloglou disse que não se lembra de ter recebido o alerta da Apple confirmado pelo Citizen Lab; fico em dúvida se isso deve ser entendido como: a Apple avisou que ele estava sendo vigiado, mas ele ignorou
É chocante que os alertas de ameaça da Apple e de outras empresas não sejam em tempo real e que, em geral, sejam enviados em conjunto meses ou mais depois de ataques direcionados
Se isso significa que a Apple consegue detectar ameaças, mas não as remove nem as bloqueia, e fica meses em silêncio antes de avisar o usuário, não sei o que seria isso se não teatro de segurança
É interessante que a primeira infecção se sobreponha a uma campanha anterior do Pegasus contra jornalistas e ativistas russófonos e bielorrussófonos exilados na Europa
A pergunta é quem é o cliente do Pegasus com “autoridade para vigiar em vários países europeus”
Um texto anterior [0] sobre os casos mencionados de exilados russos diz que os Países Baixos e a Estônia usaram Pegasus fora de suas fronteiras, mas pode haver mais lugares com esse tipo de licença
Se os casos dos exilados russos e o de Kouloglou estiverem ligados pelo mesmo método de ataque, um país como a Estônia parece mais plausível. Ainda assim, sempre existe a possibilidade de que uma agência com acesso ao Pegasus tenha colaborado com outra sem autorização, ou o tenha usado em nome dela
[0] https://www.accessnow.org/publication/hacking-meduza-pegasus...
Acho que talvez seja um problema de escolhas de arquitetura de software, como um grande kernel monolítico, serviços desnecessários de telemetria e marketing, APIs legadas, linguagens inseguras como C e falta de análise estática
Celulares já deveriam ser tratados como território contaminado, e nada importante deveria ficar neles
Alguns líderes simplesmente não usam smartphones e, por isso, ficam protegidos contra spyware eletrônico
Alguns bancos, chats, apps de relacionamento e serviços como Uber só funcionam no celular
Naquela época, os celulares de muitos políticos gregos foram hackeados com Pegasus
Na Grécia, isso ainda é um escândalo não totalmente resolvido, e todas as evidências apontam para uma operação conduzida pelo gabinete do primeiro-ministro em coordenação com a agência de inteligência local
Por isso, acho difícil chamar isso de ataque ao Parlamento Europeu
https://notesfrompoland.com/2026/02/26/poland-charges-former...
Quando você tem um martelo, tudo parece prego
O interessante é que isso sugere que tanto informações médicas pessoais confidenciais quanto documentos governamentais sigilosos podem ter vazado pelo mesmo celular
O Parlamento Europeu não tem uma política de separar dispositivos de trabalho e pessoais?
É compreensível, considerando como o horário de trabalho e o tempo pessoal frequentemente se misturam
As informações médicas não estavam dentro do celular
Eurodeputados catalães também foram alvo do Pegasus; não lembro os detalhes, mas na época os clientes eram apenas Estados, então a Espanha basicamente contratou o serviço
Nada aconteceu
Em breve, provavelmente vão criar às pressas uma lei para obrigar alguém a fazer alguma coisa, ou aplicar uma multa enorme em alguém e encerrar o assunto rapidamente
Alguém precisa ser responsabilizado
O Lockdown Mode do iOS conseguiria impedir isso?
Só que, para reduzir a superfície de ataque, ele intencionalmente transforma o smartphone em algo parecido com um telefone bem burro
O caso prático é quando você só precisa de um aparelho simples para trocar mensagens, fazer chamadas pela rede telefônica comum e ver as horas
Pelo contexto, alguns países europeus abusaram tanto de spyware como o Pegasus que empresas israelenses chegaram a cortar relações com eles; o caso italiano abaixo é um deles
Outras pessoas também mencionaram Grécia e Polônia
É irônico que um eurodeputado tenha se tornado alvo do mesmo tipo de vigilância que atinge jornalistas inocentes, ativistas e talvez pessoas comuns
E isso feito por Estados-membros da UE, contribuindo diretamente para o desenvolvimento e a disseminação de malware por empresas israelenses
https://www.bbc.com/news/articles/cvgmzdjw24yo
Espero que o produto continue sendo oferecido às mesmas pessoas por meio de outros revendedores subordinados