Il legislatore dell'UE che ha indagato sull'abuso di spyware è stato hackerato con Pegasus
Stelios Kouloglou ha trascorso due anni nel comitato del Parlamento Europeo istituito per indagare sui governi che spiano i propri cittadini con strumenti di hacking commerciali. Secondo un rapporto pubblicato venerdì da Citizen Lab, il gruppo di ricerca dell'Università di Toronto, il suo stesso telefono è stato hackerato con spyware Pegasus mentre l'inchiesta era in corso. Kouloglou, un ex MEP greco del partito di sinistra SYRIZA, ha servito come membro supplente del comitato PEGA, l'organo parlamentare formato nel 2022 per esaminare l'uso di Pegasus e di spyware simili negli Stati membri dell'UE. Citizen Lab ha trovato prove forensi di tre infezioni separate sul suo iPhone, una nell'ottobre 2022 e altre due nel marzo 2023, mentre il comitato stava redigendo le sue conclusioni. Lo spyware era Pegasus, prodotto dal gruppo israeliano NSO, e Citizen Lab afferma di averlo identificato con alta fiducia. L'infezione di ottobre 2022 è avvenuta mentre Kouloglou era in ospedale per una procedura programmata. Le altre due sono arrivate a distanza di un giorno l'una dall'altra nel marzo 2023, mentre viaggiava tra Atene e Bruxelles durante l'ultima fase delle trattative sul rapporto del comitato. Ciò che Citizen Lab non ha fatto è nominare chi ha ordinato l'hack. L'exploit si basava su una vulnerabilità di Apple precedentemente corretta che non era ancora stata installata sul dispositivo di Kouloglou, un metodo zero-click che non richiede alcuna azione da parte dell'obiettivo. I ricercatori hanno collegato l'infrastruttura dietro di esso a una campagna già utilizzata contro giornalisti in altre parti d'Europa, indicando un cliente governativo di NSO piuttosto che la società stessa, sebbene quel cliente rimanga non identificato. NSO concede in licenza Pegasus esclusivamente a enti governativi, ma questo non è lo stesso che nominare un attaccante. Nessun paese è stato identificato come operatore, e il rapporto di Citizen Lab è esplicito nel dire che l'attribuzione si ferma lì. Kouloglou ha definito l'intrusione "sconsiderata" e ha dichiarato di avere intenzione di fare causa al gruppo NSO. Ha detto ai ricercatori di aver appreso delle infezioni solo a maggio, dopo che un avvocato lo ha indirizzato a Citizen Lab per un controllo del telefono. Il gruppo NSO non ha risposto alle richieste di commento né da parte di Citizen Lab né dei giornalisti che hanno coperto i risultati. Il Parlamento Europeo, interpellato sul caso, non ha affrontato direttamente la situazione di Kouloglou. Un portavoce ha dichiarato che il team di sicurezza informatica dell'istituzione "monitora costantemente le minacce alla cybersicurezza" e che gli strumenti di screening per spyware sono stati disponibili per i membri dal 2022, lo stesso anno in cui è stato formato il comitato PEGA. Un rapporto di follow-up adottato dal parlamento il mese scorso ha chiesto di estendere quello screening a ogni dispositivo utilizzato dagli MEP per affari parlamentari. Altri membri del comitato PEGA sono stati rapidi a reagire. L'MEP tedesco Hannah Neumann ha chiesto al parlamento di implementare finalmente le raccomandazioni originali del comitato, che sono rimaste per lo più intatte dal 2023. Ron Deibert, direttore di Citizen Lab, ha descritto il caso come "ironico" dato il ruolo di Kouloglou nell'indagare sulla stessa tecnologia che è stata usata contro di lui, e ha avvertito che un'industria di spyware non regolamentata corrode la fiducia nelle istituzioni democratiche ben oltre qualsiasi singolo obiettivo. Il rapporto del comitato PEGA del 2023 aveva già concluso che Pegasus e strumenti comparabili erano stati abusati in Polonia, Ungheria, Grecia e Spagna, e aveva chiesto controlli più rigorosi a livello dell'UE sulla loro vendita e uso. Poco di ciò si è tradotto in legge vincolante. Un caso separato dalla Bulgaria, dove licenze di esportazione trapelate hanno mostrato un'affiliata di NSO con sede a Sofia che spediva attrezzature di sorveglianza a agenzie di intelligence dall'Azerbaigian agli Emirati Arabi Uniti, suggerisce che il divario di enforcement di cui il comitato ha avvertito si è solo ampliato da allora. Anche al di fuori del mercato di Pegasus propriamente detto, spyware commerciali più economici venduti alle forze dell'ordine europee, come l'app WhatsApp falsa costruita dalla SIO italiana, mostrano quanto lontano si sia diffuso il problema sottostante oltre un singolo fornitore. Il caso di Kouloglou aggiunge un dettaglio personale a quello che è stato per lo più un conflitto politico astratto. Le persone che hanno trascorso due anni a documentare gli abusi di spyware per il Parlamento Europeo erano obiettivi plausibili per lo strumento che stavano scrutinando, e almeno uno di loro è stato colpito mentre l'inchiostro sui risultati era ancora fresco.
Altri articoli
Il legislatore dell'UE che ha indagato sull'abuso di spyware è stato hackerato con Pegasus
Citizen Lab afferma che l'ex eurodeputato Stelios Kouloglou, che ha partecipato all'inchiesta dell'UE sui software spia, è stato hackerato con Pegasus del NSO Group mentre l'indagine era in corso.
