
Politician who investigated spyware abuses had his phone hacked with Pegasus spyware
Pesquisadores de segurança confirmaram que o celular de um político europeu foi invadido pelo spyware Pegasus enquanto ele atuava em uma comissão de investigação que apurava abusos dessa notória ferramenta de vigilância. Isso reacendeu uma nova polêmica sobre o uso indevido de spyware por governos para coletar informações sobre seus críticos.
Os pesquisadores da unidade de direitos digitais da Universidade de Toronto, o Citizen Lab, afirmam que a invasão confirmada do celular do jornalista e ex-político grego Stelios Kouloglou entre 2022 e 2023 marca a primeira vez que um membro da comissão PEGA do Parlamento Europeu, encarregada de investigar ataques com spyware por governos europeus, tenha sido publicamente identificado como vítima de spyware.
Kouloglou disse ao TechCrunch em uma ligação telefônica que a invasão deliberada de seu celular foi “imprudente”. Um legislador europeu em exercício descreveu a invasão do celular de Kouloglou como um “ataque direto ao Estado de Direito” e pediu à Comissão Europeia que tome medidas concretas, impondo limites rigorosos ao uso de spyware em todo o bloco dos 27 Estados-membros.
Embora ataques com spyware contra legisladores sejam raros, o momento em que ocorreu e o fato de um investigador da comissão ter sido alvo justamente do spyware que ele próprio investigava sugerem um foco intenso nos bastidores da comissão antes da divulgação de um relatório amplamente aguardado que detalhará suas conclusões. Os ataques levantam novas questões sobre como os governos utilizam softwares espiões, supostamente necessários para identificar crimes graves, mas que acabam sendo flagrados espionando as comunicações de jornalistas, legisladores e críticos.
Os pesquisadores do Citizen Lab não atribuíram a invasão de telefones a um país específico, mas afirmaram que o cliente governamental utilizou o mesmo endereço de e-mail equipado com o Pegasus que foi usado em uma campanha anterior que invadiu os telefones de jornalistas em toda a Europa. A identidade do cliente não é conhecida, mas a reutilização do mesmo endereço de e-mail de ataque sugere que o cliente tinha autorização do NSO Group para usar seu software espião Pegasus para espionar telefones em vários países da Europa.
Um porta-voz da Comissão Europeia não respondeu ao pedido de comentário do TechCrunch. O NSO Group também não respondeu a um pedido de comentário sobre o relatório do Citizen Lab antes de sua publicação.
Em seu relatório divulgado na sexta-feira, o Citizen Lab afirmou que Kouloglou foi hackeado em outubro de 2022 e pelo menos duas vezes durante março de 2023, por meio de uma exploração que comprometeu uma vulnerabilidade de segurança no software do iPhone da Apple. Essa vulnerabilidade já havia sido corrigida, mas a correção ainda não havia sido instalada no celular de Kouloglou. A exploração era um bug do tipo “zero-click”, o que significa que o spyware invadiu o aparelho e roubou seus dados sem precisar de qualquer interação da parte dele.
O bug explorou uma falha previamente descoberta no software de casa inteligente da Apple usado nos iPhones. Isso permitiu que o spyware obtivesse dados privados do celular de Kouloglou sem seu conhecimento, como mensagens de texto e outras correspondências, dados de localização e fotos.
O momento do ataque, em outubro de 2022, coincide com intensas discussões por e-mail e mensagens de texto ao longo de outubro e novembro de 2022, antes da entrega de uma primeira versão do relatório que descrevia abusos de spyware com foco em Chipre, Grécia, Hungria, Polônia e Espanha.
O ataque também coincidiu exatamente com o momento em que Kouloglou estava no hospital para uma cirurgia agendada com antecedência, o que pode ter permitido que os operadores do spyware escutassem o áudio ambiente relacionado aos seus cuidados de saúde ou outras conversas que ele teve com visitantes naquele momento.
Meses depois, nos dias 6 e 7 de março, o Citizen Lab informou que o celular de Kouloglou foi hackeado novamente pelo mesmo operador do Pegasus enquanto ele viajava de Atenas para Bruxelas, durante um período de audiências da comissão e meses antes de a comissão finalizar e aprovar seu rascunho de relatório.
Em uma ligação, Kouloglou disse ao TechCrunch que não sabia por que foi especificamente alvo do ataque, mas que acredita que isso se deveu ao seu trabalho na comissão do Parlamento Europeu que investiga os abusos do Pegasus.
Ele descreveu a raiva que sentiu ao descobrir que seu celular havia sido hackeado.
“Você percebe que todos os seus dados pessoais [foram roubados] — não apenas as trocas profissionais ou mensagens com ministros —, mas também as coisas muito particulares, como os momentos felizes e os momentos tristes”, disse ele ao TechCrunch.
Kouloglou disse que planeja processar o NSO Group, fabricante de spyware com sede em Israel. O uso do NSO continua amplamente proibido nos Estados Unidos após um decreto da era Biden que proibiu o uso, pelo governo, de spyware que pudesse violar os direitos humanos das pessoas.
No ano passado, a fabricante de spyware confirmou que um grupo de investimentos americano não identificado injetou dezenas de milhões de dólares na empresa, provavelmente como parte de um esforço para reabilitar a marca da NSO, que estava em maus lençóis por estar associada à facilitação de violações dos direitos humanos.
Kouloglou disse que estava divulgando publicamente sua história “pela democracia, pelos direitos humanos e pela luta contra a corrupção”.
“A corrupção diz respeito a todos”, disse ele.