Investigatore UE sullo spyware hackerato con Pegasus in un attacco audace
Ironia e spionaggio: un investigatore di spyware hackerato con spyware
In uno sviluppo che sottolinea la crescente minaccia dello spyware commerciale alle istituzioni democratiche, i ricercatori del Citizen Lab dell'Università di Toronto hanno confermato che un membro della commissione del Parlamento Europeo che indaga sugli abusi di spyware è stato a sua volta hackerato con lo spyware Pegasus di NSO Group. La scoperta, pubblicata il 3 luglio 2026, segna la prima volta che un membro della commissione PEGA viene identificato pubblicamente come vittima della stessa tecnologia che era stato incaricato di indagare.
L'ex eurodeputato Stelios Kouloglou, giornalista e politico greco che ha servito come membro supplente della commissione PEGA da marzo 2022 a luglio 2023, ha subito l'infezione del suo iPhone con Pegasus in almeno tre occasioni. Le infezioni sono avvenute il 21 ottobre 2022, e di nuovo il 6 e 7 marzo 2023, durante periodi critici del lavoro della commissione, inclusa la stesura del suo rapporto finale sugli abusi di spyware in tutta Europa.
Come si è svolto l'attacco
L'analisi forense del Citizen Lab sull'iPhone di Kouloglou ha rivelato che la prima infezione del 21 ottobre 2022 ha sfruttato una vulnerabilità zero-click nota come PWNYOURHOME. Questo vettore d'attacco prevedeva un NSKeyedArchive appositamente predisposto che è finito nel framework HomeKit di Apple, seguito da contenuti dannosi mirati a MessagesBlastDoorService. Apple ha mitigato il problema di HomeKit in iOS 16.3.1, ma la correzione di MessagesBlastDoorService è probabilmente arrivata prima, in iOS 16.1. Al momento dell'infezione, il dispositivo di Kouloglou eseguiva iOS 15.5.
La seconda ondata di infezioni è avvenuta il 6 e 7 marzo 2023, utilizzando la stessa catena di exploit. I ricercatori ritengono con elevata probabilità che entrambe le infezioni siano riuscite, anche se notano che potrebbero essersi verificate ulteriori infezioni non rilevabili a causa dei limiti dei dati forensi disponibili.
Tempistica e contesto degli attacchi
La prima infezione del 21 ottobre 2022 è avvenuta mentre Kouloglou era ricoverato in Grecia per un intervento chirurgico programmato. Quel giorno fu visitato dal giornalista investigativo Thanasis Koukakis, che a sua volta era stato preso di mira con lo spyware Predator di Intellexa e aveva testimoniato davanti alla commissione PEGA. La tempistica è particolarmente significativa: è avvenuta pochi giorni prima di una serie di audizioni critiche della PEGA e mentre la commissione stava preparando la sua prima bozza di rapporto, pubblicata l'8 novembre 2022.
Il secondo periodo di infezione del 6-7 marzo 2023 ha coinciso con il viaggio di Kouloglou da Atene a Bruxelles per intense deliberazioni della commissione. Durante questo periodo, la relatrice della PEGA Sophie in 't Veld era in Grecia per una missione correlata con la commissione LIBE, interrogando funzionari sullo scandalo dello spyware greco. Le infezioni sono avvenute circa due mesi prima che la commissione adottasse il suo primo rapporto l'8 maggio 2023.
Attribuzione e connessione russo-bielorussa
Sebbene il Citizen Lab non abbia attribuito gli attacchi a un governo specifico, ha identificato un collegamento critico. Lo stesso indirizzo email Apple ID univoco—rauharepo888@gmail.com—utilizzato nell'exploit HomeKit contro Kouloglou è stato utilizzato anche in una campagna Pegasus precedentemente identificata che prendeva di mira sette giornalisti indipendenti e attivisti dell'opposizione di lingua russa e bielorussa con sede in Europa. Questa sovrapposizione suggerisce fortemente che lo stesso operatore Pegasus fosse responsabile.
I ricercatori notano che le infezioni sono avvenute in almeno due giurisdizioni europee—Grecia e Belgio—il che richiederebbe un cliente NSO con una licenza che consente operazioni in più paesi dell'UE. Ciò restringe l'elenco dei potenziali operatori. In particolare, il Citizen Lab non ha trovato prove che coinvolgano il governo greco, noto per aver utilizzato lo spyware Predator di Intellexa ma non Pegasus di NSO.
Ripercussioni politiche e risposta istituzionale
La rivelazione ha suscitato indignazione in tutto il Parlamento Europeo. L'eurodeputata belga dei Verdi Saskia Bricmont, membro della commissione PEGA, ha definito l'attacco "un attacco diretto allo stato di diritto". Hannah Neumann, un'altra eurodeputata dei Verdi che ha fatto parte della commissione, ha dichiarato a WIRED: "Non hanno preso di mira solo un eurodeputato, hanno spiato l'indagine stessa sugli abusi di spyware. Questo mostra l'assurdità della situazione."
La portavoce del Parlamento Europeo, Delphine Colard, ha dichiarato che i servizi dell'istituzione "monitorano costantemente le minacce alla sicurezza informatica" e ha notato che un sistema di rilevamento dello spyware è disponibile per tutti i legislatori dell'UE dal 2022. Tuttavia, il caso ha sollevato seri interrogativi sull'efficacia di queste misure. John Scott-Railton, ricercatore senior del Citizen Lab, ha avvertito: "È la stagione aperta dello spyware per i legislatori europei. Il Parlamento Europeo, i parlamenti nazionali, nessuno è preparato."
Analisi tecnica e attribuzione
L'analisi forense ha rivelato che la prima infezione del 21 ottobre 2022 ha utilizzato una catena di exploit zero-click. Una ricerca per l'indirizzo email HomeKit rauharepo888@gmail.com è stata seguita due minuti dopo dall'attività del processo Pegasus tramite dati mobili. Lo stesso indirizzo email era stato precedentemente identificato in un rapporto congiunto del maggio 2024 del Citizen Lab e di Access Now, che descriveva in dettaglio una campagna mirata a sette giornalisti indipendenti e attivisti dell'opposizione di lingua russa e bielorussa con sede in Europa.
Sebbene i ricercatori non abbiano attribuito gli attacchi a un governo specifico, notano che l'operatore probabilmente disponeva di una licenza che consentiva infezioni in più giurisdizioni dell'UE, restringendo il campo dei potenziali clienti NSO. È importante sottolineare che il Citizen Lab non ha trovato prove che coinvolgano il governo greco, noto per aver utilizzato lo spyware Predator di Intellexa ma non Pegasus di NSO.
Implicazioni più ampie per la democrazia europea
Il caso ha riacceso il dibattito sulla regolamentazione dello spyware commerciale in Europa. Nonostante le raccomandazioni della commissione PEGA, che includevano richieste di controlli più severi sulle esportazioni e una supervisione indipendente, sono state prese poche azioni concrete. L'eurodeputata Saskia Bricmont, membro della commissione PEGA, ha dichiarato a WIRED: "L'uso dello spyware non solo viola i diritti fondamentali delle persone coinvolte, ma in questo caso minaccia anche la sicurezza e l'integrità del lavoro parlamentare e del Parlamento Europeo nel suo insieme. È un attacco diretto allo stato di diritto."
Lo stesso Kouloglou ha espresso rabbia nell'apprendere dell'hack, dichiarando a TechCrunch: "Ti rendi conto che tutti i tuoi dati personali [sono stati presi] — non solo gli scambi professionali o i messaggi con i ministri — ma anche le cose molto private, come i momenti felici e quelli tristi." Ha contattato il Citizen Lab nel maggio 2026 dopo aver ricevuto molteplici notifiche di minaccia da Apple, che inizialmente non aveva notato.
Risposta istituzionale e raccomandazioni
Il Parlamento Europeo ha difeso la sua postura di sicurezza informatica, con la portavoce Delphine Colard che ha dichiarato che un sistema di rilevamento dello spyware è disponibile per tutti i legislatori dal 2022. Tuttavia, il caso ha esposto significative lacune nella protezione. Il rapporto del Citizen Lab include diverse raccomandazioni urgenti:
- Screening immediato di tutti i membri della commissione PEGA e del loro personale per infezioni da spyware.
- Rapporti annuali sulle minacce informatiche e di sorveglianza al Parlamento.
- Segnalazione obbligatoria degli avvisi di attacco sponsorizzato dallo stato da parte di aziende come Apple e Google.
- Screening ampliato per includere i Commissari europei e il loro personale, nonché i membri dell'Assemblea parlamentare del Consiglio d'Europa.
Perché questo è importante
Questo caso rappresenta una profonda violazione del privilegio parlamentare e del processo democratico. La commissione PEGA è stata istituita nel marzo 2022 in seguito alle rivelazioni del Progetto Pegasus, che hanno mostrato come i governi europei avessero utilizzato spyware per sorvegliare giornalisti, attivisti e politici. Il lavoro della commissione mirava a ritenere i governi responsabili e raccomandare garanzie contro tali abusi.
Come ha dichiarato Hannah Neumann, eurodeputata dei Verdi che ha fatto parte della commissione, a WIRED: "Non hanno preso di mira solo un eurodeputato, hanno spiato l'indagine stessa sugli abusi di spyware. Questo mostra l'assurdità della situazione." L'attacco al dispositivo di Kouloglou avrebbe potuto esporre deliberazioni non pubbliche della commissione, documenti riservati e comunicazioni con i testimoni—compromettendo potenzialmente l'integrità dell'intera indagine.
Dettagli tecnici e operativi
L'analisi forense ha rivelato che la prima infezione del 21 ottobre 2022 ha utilizzato una catena di exploit zero-click. Una ricerca per l'indirizzo email HomeKit rauharepo888@gmail.com è stata seguita due minuti dopo dall'attività del processo Pegasus tramite dati mobili. Lo stesso indirizzo email è stato utilizzato in una campagna precedentemente identificata mirata a esuli di lingua russa e bielorussa, suggerendo fortemente un operatore comune.
Kouloglou ha ricevuto molteplici notifiche di minaccia da Apple relative a spyware mercenario il 2 marzo 2023, il 29 agosto 2023 e il 10 aprile 2024. Tuttavia, non ricordava di aver ricevuto questi avvisi, evidenziando una lacuna critica nel modo in cui tali avvertimenti vengono comunicati e gestiti. Il Citizen Lab osserva che le notifiche di Apple non sono in tempo reale e vengono spesso inviate in lotti mesi dopo la presa di mira effettiva.
Implicazioni più ampie e risposta istituzionale
Il caso ha esposto la vulnerabilità delle istituzioni democratiche europee allo spyware commerciale. Le raccomandazioni della commissione PEGA, che includevano richieste di misure vincolanti per vietare l'uso illegale di spyware, sono state in gran parte ignorate. L'eurodeputata Saskia Bricmont ha esortato la Commissione Europea ad "adottare misure vincolanti per vietare l'uso illegale di spyware in Europa."
Kouloglou, che ha lasciato il Parlamento Europeo nel luglio 2024, ha dichiarato a TechCrunch di aver provato un profondo senso di violazione nell'apprendere dell'hack. "Ti rendi conto che tutti i tuoi dati personali [sono stati presi] — non solo gli scambi professionali o i messaggi con i ministri — ma anche le cose molto private, come i momenti felici e quelli tristi," ha detto.
Il Parlamento Europeo ha difeso la sua postura di sicurezza informatica, con la portavoce Delphine Colard che ha dichiarato che un sistema di rilevamento dello spyware è disponibile per tutti i legislatori dal 2022. Tuttavia, il rapporto del Citizen Lab suggerisce che questa capacità è sottoutilizzata e che è urgentemente necessario uno screening completo di tutti i membri della commissione PEGA. I ricercatori raccomandano inoltre che la Commissione Europea e i parlamenti nazionali implementino programmi di screening simili.
Cosa succederà dopo
Il rapporto del Citizen Lab include una serie di raccomandazioni per le istituzioni dell'UE, tra cui lo screening forense immediato di tutti i membri della commissione PEGA e del loro personale, rapporti annuali sulle minacce e la segnalazione obbligatoria degli avvisi di attacco sponsorizzato dallo stato. I ricercatori esortano inoltre le aziende tecnologiche a migliorare l'efficacia delle loro notifiche di minaccia, osservando che Kouloglou ha ricevuto molteplici avvisi da Apple che non ha notato.
Come ha avvertito John Scott-Railton del Citizen Lab: "Questo caso è l'ironia finale della crisi dello spyware in Europa. Qualcuno nella stessa commissione incaricata di indagare su Pegasus viene infettato da esso. E cosa è successo da allora? Il parlamento guarda dall'altra parte quando emergono nuovi abusi di spyware europei. Posso dirvi come andrà il prossimo capitolo: più parlamentari hackerati."
Related News

I livelli di CO₂ nelle sale riunioni stanno sabotando le decisioni del tuo team

Diritto all'Intelligenza Locale: Proteggere l'Open AI dalle Leggi Statali sulle Licenze

Report: Spain Orders Blacklist of Palantir from Public and Private Companies

Kimi K2.7 Code ora disponibile in GitHub Copilot

Sony elimina 551 film acquistati dalle librerie PlayStation

