針對歐洲議會的間諜活動:PEGA 委員會成員遭 Pegasus 駭客攻擊
針對歐洲議會的間諜活動:PEGA 委員會成員遭 Pegasus 駭客攻擊
Pegasus 間諜軟體瞄準歐洲議會調查員
前歐洲議會議員 (MEP) Stelios Kouloglou 在擔任 PEGA 委員會成員期間,多次遭到 NSO Group 的 Pegasus 間諜軟體感染。該委員會正是負責調查歐盟內部間諜軟體濫用行為的機構。此次入侵代表了對民主程序完整性的重大威脅,因為感染很可能擷取了有關委員會活動的非公開資訊,並違反了歐盟議會的保密框架。
感染的鑑識證據
Citizen Lab 在 2026 年 5 月進行的鑑識分析以高度信心確認,Kouloglou 的 iPhone 在兩個不同的時間點成功感染了 Pegasus:
- 2022 年 10 月 21 日: 裝置遭使用針對 HomeKit 的 PWNYOURHOME 零點擊 (zero-click) 漏洞進行駭客攻擊。感染發生在 Kouloglou 於希臘醫院進行選擇性手術期間。
- 2023 年 3 月 6†7: 第二次感染發生在 Kouloglou 從雅典前往布魯塞爾的旅途中。
在這些感染發生時,該裝置運行的是 iOS 15.5。此外,鑑識數據顯示,Kouloglou 在 2023 年 3 月 2 日、2023 年 8 月 29 日以及 2024 年 4 月 10 日收到了 Apple 關於僱傭間諜軟體的威脅通知,儘管受害者報告稱不記得這些警報。
與 PEGA 委員會活動的關聯性
Pegasus 感染的時間點與 PEGA 委員會調查的關鍵階段精確對齊:
第一階段感染:報告草案撰寫與國家訪問
2022 年 10 月 21 日的感染發生在 PEGA 委員會前往希臘和賽普勒斯進行研究訪問的前十天。這也與委員會第一份草案報告的準備工作相符,該報告重點關注波蘭、匈牙利、希臘、賽普勒斯和西班牙的間諜軟體指控。在此期間,成員們透過簡訊和電子郵件交換敏感的草案。
第二階段感染:最終審議
2023 年 3 月 6†7 的感染發生在關於 PEGA 報告最終撰寫過程的激烈討論期間。同時,PEGA 報告起草人 MEP Sophie in ’t Veld 當時正與 LIBE 委員會一起在希臘執行任務,就希臘間諜軟體醜聞向官員進行質詢。
歸因與操作員分析
雖然 Citizen Lab 並未將攻擊歸因於特定政府,但他們已識別出與已知操作員的技術聯繫:
- 基礎設施重疊: 第一次感染使用了 HomeKit 電子郵件地址 (
rauharepo888 [@]gmail.com),該地址先前在 2024 年 5 月的一份報告中被發現用於針對歐洲的俄羅斯語和白俄羅斯語流亡記者與活動人士。 - 授權許可含義: 由於感染發生在希臘和比利時兩地,攻擊者很可能擁有授權在多個歐盟司法管轄區進行監控的 Pegasus 授權許可。
- 希臘政府排除: Citizen Lab 發現沒有證據顯示希臘政府負責,並指出希臘並非已知的 NSO Group 客戶,且通常使用 Intellexa 的 Predator 軟體而非 Pegasus。
廣泛的 MEP 瞄準模式
這是第一個 PEGA 委員會成員在任職期間被駭客攻擊的公開案例,但這遵循了針對歐洲立法者的僱傭間諜軟體瞄準模式:
- 加泰隆尼亞 MEPs: Diana Riba, Jordi Solé, Clara Ponsati, 和 Carles Puigdemont 均遭 Pegasus 瞄準。
- 安全與國防小組委員會: 2024 年 2 月,有報導指出法國 MEP Nathalie Loiseau 和保加利亞 MEP Elena Yoncheva 遭 Pegasus 瞄準。
其它間諜軟體
德國 MEP Daniel Freund 在 2024 年 5 月 報到遭 Candiru 的僱傭間諜軟體瞄準。
歐盟機構的建議
為了降低持續監控的風險,Citizen Lab 根據建議採取幾項立即行動:
法醫學鑑識篩查: 所有參與 PEGA 委員會的 MEPs 和工作人員應透過資訊技術與網路安全總局 (DG ITEC) 透過立即進行鑑識篩查。
增強安全協議: 歐盟 MEPs 應在 iPhone 上啟用 Lockdown mode,並在 Android 裝置上啟用 Advanced Protect,以防禦零點擊 (zero-click) 漏洞攻擊。
**機構體制制衡:---/n
group
_thought: 32 tokens.```json}{