Pegasus-spyware treft lid van EU-onderzoekscommissie
Het Europees Parlement is opgeschrikt door een ernstig spionage-incident. Stelios Kouloglou, een voormalig Grieks Europarlementariër, bleek doelwit te zijn van de omstreden Pegasus-spyware. De digitale infiltratie vond plaats op de momenten dat hij zitting had in de PEGA-commissie; het speciale parlementaire panel dat juist belast was met het onderzoeken van spywaremisbruik in Europa.
Dat blijkt uit een forensisch rapport van Citizen Lab, een cybersecurity-instituut verbonden aan de Universiteit van Toronto. Onderzoekers tonen aan dat de iPhone van de politicus herhaaldelijk is geïnfecteerd. Hierdoor hadden aanvallers mogelijk toegang tot strikt vertrouwelijke documenten en interne beraadslagingen van de commissie.
Hacks tijdens cruciale onderzoeksfasen
Volgens de reconstructie werd het toestel van Kouloglou voor het eerst gehackt op 21 oktober 2022 via een zogeheten 'zero-click'-methode. Deze datum viel samen met een intensieve periode waarin de commissie de laatste hand legde aan het eerste conceptrapport over spywaremisbruik in onder meer Polen, Hongarije en Griekenland. Bovendien lag de politicus die dag in het ziekenhuis voor een ingreep, waar hij werd bezocht door onderzoeksjournalist Thanasis Koukakis — die eerder zelf slachtoffer werd van de concurrerende Predator-spyware.
Een tweede Pegasus-infectie werd vastgesteld op 6 en 7 maart 2023, een moment waarop Kouloglou in Brussel was voor cruciale debatten over de definitieve tekst van het eindrapport.
Geen Griekse betrokkenheid, wel link met dissidenten
Hoewel de Griekse overheid verwikkeld is in een binnenlands afluisterspandaal rond Predator-spyware, benadrukt Citizen Lab dat er geen indicaties zijn dat Athene achter deze hack zit. Griekenland is voor zover bekend geen klant van de Israëlische NSO Group, de maker van Pegasus.
De onderzoekers ontdekten wel een digitale overlap met een spionagecampagne die eerder in Europa verbannen Russische en Wit-Russische dissidenten en journalisten viseerde. De gebruikte infrastructuur stemt exact overeen. Omdat de infecties bovendien in zowel Griekenland als België actief waren, duidt dit op een operator met een licentie die grensoverschrijdend opereren binnen de EU toestaat.