欧洲议会PEGA委员会成员遭“飞马”攻击,凸显雇佣兵间谍软件对民主进程的威胁
关键发现前欧洲议会议员斯特利奥斯·库洛格鲁在PEGA委员会任职期间多次遭NSO集团“飞马”间谍软件攻击攻击者或获取机密文件与审议内容。库洛格鲁在关键时期被感染间谍软件可能获取非公开信息违反欧盟议会保密和特权框架。目前不会将攻击归咎于特定政府首次感染时间与针对欧洲流亡记者及活动人士的“飞马”攻击活动重合可能是获授权的“飞马”客户所为。背景情况斯特利奥斯·库洛格鲁是希腊调查记者2015年当选欧洲议会议员有丰富的报道经历2008年起为无国界电视台撰稿。他通过激进左翼联盟党选举名单当选2019年连任。2022年3月24日至2023年7月18日任PEGA委员会候补成员该委员会于2022年3月10日成立由索菲·因特·费尔德领导调查违反欧盟法律使用间谍软件情况。库洛格鲁任职期间继续为电视台撰稿2023年10月离开激进左翼联盟党2024年6月后成为新左翼党成员议会任期于2024年7月结束。设备感染情况2026年5月库洛格鲁联系公民实验室对iPhone设备进行法医分析发现设备分别于2022年10月21日左右、2023年3月6日和7日被“飞马”间谍软件感染。2022年10月21日10点16分设备查询HomeKit邮箱地址两分钟后“飞马”进程使用移动数据判断遭“PWNYOURHOME”零点击漏洞攻击。苹果公司在iOS 16.3.1系统中修复HomeKit问题可能更早修复MessagesBlastDoorService问题。2023年3月6日09:49至3月7日07:30期间设备出现“飞马”软件活动迹象可能与之前攻击使用相同漏洞感染时设备运行iOS 15.519F77系统。法医分析证实库洛格鲁曾三次收到苹果公司的威胁通知他不记得收到过这些通知。攻击背景及委员会活动首次“飞马”感染期在2022年10月21日与PEGA委员会紧张时期吻合。之后将举行系列听证会委员会也在准备首份报告草案感染日期恰逢密集讨论交流期。2022年11月8日因特·费尔德提交报告草案聚焦多国间谍软件指控。10月PEGA委员会计划11月1日至4日访问希腊和塞浦路斯库洛格鲁参与计划制定和访问。感染当天库洛格鲁因手术住院希腊记者萨纳西斯·库卡基斯探望他库卡基斯曾遭“捕食者”间谍软件攻击其与库洛格鲁的会面被拍照记录。感染可能导致库洛格鲁医疗信息被拦截涉及希腊健康数据保密法律。第二次“飞马”感染期在2023年3月6日和7日PEGA委员会正密集讨论最终报告起草。3月6日库洛格鲁从雅典前往布鲁塞尔。当时因特·费尔德前往希腊参与LIBE委员会任务就间谍软件丑闻询问官员。感染后有系列PEGA听证会和对西班牙的研究访问库洛格鲁未参加。库洛格鲁和库卡基斯曾计划见面但未成行。欧洲议会面临监控威胁这是首次公开确认PEGA委员会成员成为“飞马”间谍软件受害者。此前有多名欧洲议会议员遭攻击如戴安娜·里巴、霍尔迪·索莱等部分加入PEGA委员会并讲述经历。2024年2月欧洲议会安全与国防小组委员会议员因设备发现间谍软件痕迹被要求检查手机主席娜塔莉·洛瓦索和保加利亚议员埃琳娜·容切娃证实遭“飞马”攻击。2024年5月德国议员丹尼尔·弗罗因德宣布遭“坎迪鲁”间谍软件攻击。攻击来源分析虽有理由相信库洛格鲁遭“飞马”攻击但目前不将攻击归咎于特定NSO集团客户。希腊政府有滥用监控手段丑闻但无迹象表明此次攻击与希腊政府有关希腊未被报道是NSO集团客户或使用“飞马”软件。2022年攻击库洛格鲁的攻击者可能与针对欧洲流亡记者及活动人士的攻击者为同一人无法确定2023年第二次感染是否与该攻击者有关。库洛格鲁手机在希腊和比利时出现感染迹象可能意味着攻击者有在多个欧盟司法管辖区攻击的许可。结论与建议一名欧洲议会议员兼PEGA委员会成员设备被感染令人担忧不确定其他成员手机状况不全面筛查无法确定是否有其他感染。此次感染可能导致保密交流和敏感审议内容泄露。这凸显了雇佣兵间谍软件对民主进程完整性的严重威胁也说明不受监管的雇佣兵黑客活动的危害性。建议欧盟机构展开调查包括欧洲议会议员及工作人员进行设备筛查、欧洲议会加强调查和报告工作、欧盟委员会对委员和工作人员筛查、欧洲委员会议会大会对成员和工作人员筛查、各国议会借鉴筛查技术、科技公司提高威胁通知有效性等。研究伦理说明与致谢公民实验室研究遵循多伦多大学研究伦理委员会审查和批准的协议。感谢丽贝卡·布朗、亚当·森夫特审核安娜·麦凯和克莱尔·波斯诺提供沟通和排版支持感谢斯特利奥斯·库洛格鲁和萨纳西斯·库卡基斯参与研究特别感谢扎卡利亚斯·凯塞斯和TNG。附录PEGA委员会审议及感染日期时间线包含2015年1月30日库洛格鲁成为欧洲议会议员、2019年5月连任、2022年3月10日PEGA委员会成立、2022年10月21日首次感染、2022年11月1 - 4日访问希腊和塞浦路斯、2023年3月6 - 7日第二次感染等重要时间节点及相关事件。更多定向监控相关内容研究可查看相关简报如《俄罗斯利用Cellebrite入侵人权活动人士手机》。