对欧洲议会的间谍活动:PEGA 委员会成员遭 Pegasus 植入攻击

对欧洲议会的间谍活动:PEGA 委员会成员遭 Pegasus 植入攻击

Pegasus 间谍软件针对欧洲议会调查员

前欧洲议会议员 (MEP) Stelios Kouloglou 在担任 PEGA 委员会成员期间,多次感染了 NSO Group 的 Pegasus 间谍软件。该委员会正是负责调查欧盟内部间谍软件滥用行为的机构。此次入侵代表了对民主进程完整性的重大威胁,因为感染很可能获取了有关委员会活动的非公开信息,并违反了欧盟议会的保密框架。

感染的取证证据

Citizen Lab 在 2026 年 5 月进行的取证分析以高度置信度确认,Kouloglou 的 iPhone 在两次不同的场合成功感染了 Pegasus:

  • 2022 年 10 月 21 日: 设备通过针对 HomeKit 的 PWNYOURHOME 零点击漏洞被黑客攻击。感染发生时,Kouloglou 正在希腊的一家医院进行择期手术。
  • 2023 年 3 月 6†7 日: 第二次感染发生在 Kouloglou 从雅典前往布鲁塞尔的途中。

在这些感染发生时,设备运行的是 iOS 15.5。此外,取证数据表明,Kouloglou 在 2023 年 3 月 2 日、2023 年 8 月 29 日和 2024 年 4 月 10 日收到了 Apple 关于雇佣间谍软件的威胁通知,尽管受害者报告称不记得这些警报。

与 PEGA 委员会活动的关联性

Pegasus 感染的时间点与 PEGA 委员会调查的关键阶段精确对齐:

第一阶段感染:报告起草与国家访问

2022 年 10 月 21 日的感染发生在 PEGA 委员会对希腊和塞浦路斯进行研究访问的前十天。它也恰逢委员会第一份草案报告的准备阶段,该报告侧重于波兰、匈牙利、希腊、塞浦路斯和西班牙的间谍软件指控。在此期间,成员们通过短信和电子邮件交换敏感的草案。

第二阶段感染:最终审议

2023 年 3 月 6†7 日的感染发生在关于 PEGA 报告最终起草过程的激烈讨论期间。与此同时,PEGA 报告员 MEP Sophie in ’t Veld 正在希腊执行任务,与 LIBE 委员会一起就希腊间谍软件丑闻向官员进行质询。

归因与操作员分析

虽然 Citizen Lab 没有将攻击归属为特定政府,但他们已经识别出与已知操作员的技术联系:

  • 基础设施重叠: 第一次感染使用了 HomeKit 电子邮件地址 (rauharepo888 [@]gmail.com),该地址此前在 2024 年 5 月的一份报告中被识别为针对欧洲的俄罗斯和白俄罗斯语裔流亡记者和活动人士的目标。
  • 许可限制: 由于感染发生在地希腊和比利时,攻击者很可能拥有授权在多个欧盟司法管辖区进行监控的 Pegasus 许可证。
  • 排除希腊政府: Citizen Lab 发现没有证据表明希腊政府对此负责,并指出希腊并非 NSO Group 的客户,通常使用的是 Intellexa 的 Predator 间谍软件。

针对 MEP 的更广泛模式

这是 PEGA 委员会成员在任期间被黑客攻击的首例公开案例,但它遵循了针对欧洲立法者的雇佣间谍软件针对性的模式:

  • 加泰罗尼亚 MEPs: Diana Riba, Jordi Solé, Clara Ponsati, 和 Carles Puigdemont 均遭到了 Pegasus 攻击。

  • 安全与国防小组委员会: 2024 年 2 月,有报告称法国 MEP Nathalie Loiseau 和保加利亚 MEP Elena Yoncheva 遭到了 Pegasus 攻击。

  • 其他间谍软件: 德国 MEP Daniel Freund 在 2024 年 5 月报告称遭到了 Candiru 的雇佣间谍软件攻击。

对欧盟机构的建议

为了降低持续监控的风险,Citizen Lab recommends 如下建议:

  • 取证筛查: 所有参与 PEGA 委员会的 MEPs 和工作人员应立即通过信息技术与网络安全总局 (DG ITEC) 进行取证筛查。

  • 增强安全协议: EU MEPs 应在 iPhone 上启用 Lockdown mode,并在 Android 设备上启用 Advanced Protect,以防御零点击漏洞攻击。

  • 机构监督: 欧洲议会应委托进行关于网络和监控威胁的年度报告,并通过 DG ITEC 提高间谍软件筛查查验率的透明度。

  • 平台 UX 改进: 敦促技术公司改进国家支持的威胁通知的 UX 体验,旨在确保目标对象确实能注意到并理解这些警告。

Sources