Hacking
Pegasus έπληξε μέλος του Ευρωπαϊκού Κοινοβουλίου
Νέα εγκληματολογική ανάλυση δείχνει ότι Pegasus μολύνθηκε δύο φορές σε συσκευή ευρωβουλευτή που συμμετείχε στην έρευνα για το ίδιο το spyware, με πιθανές συνέπειες στην ασφάλεια εσωτερικών συνομιλιών και στη λειτουργία της δημοκρατικής εποπτείας. Απαιτούνται άμεσες τεχνικές και πολιτικές παρεμβάσεις.
Μια πρόσφατη εγκληματολογική έρευνα φέρνει στο φως μια ιστορία που διατρέχει τα όρια της τεχνολογίας, της πολιτικής και της ασφάλειας: το κατασκοπευτικό λογισμικό Pegasus χρησιμοποιήθηκε για να παραβιάσει το κινητό ενός Ευρωβουλευτή που μετέχει στην έρευνα για την κατάχρηση τέτοιων εργαλείων. Η αποκάλυψη προκαλεί ερωτήματα όχι μόνο για τις πρακτικές των ιδιωτικών εταιρειών πώλησης spyware, αλλά και για την ευπάθεια δημοκρατικών θεσμών απέναντι σε τεχνολογίες «μισθοφορικής» παρακολούθησης.
Η έκθεση του Citizen Lab με ημερομηνία 3 Ιουλίου 2026 αναφέρει ότι ο πρώην ευρωβουλευτής Στέλιος Κούλογλου μολύνθηκε επανειλημμένα από το spyware της NSO Group ενώ υπηρετούσε στην Επιτροπή Εξέτασης για τη χρήση του Pegasus και παρόμοιων εργαλείων (η PEGA Committee). Οι λεπτομέρειες της ανάλυσης δείχνουν ότι οι επιθέσεις συνέβησαν σε κρίσιμα στάδια της επιτροπής, με πιθανές συνέπειες στην ασφάλεια των εσωτερικών συνομιλιών και του νομοθετικού έργου.
Τι αποκαλύπτει η εγκληματολογική ανάλυση
Η ανάλυση ειδικών σε κινητές συσκευές εντόπισε επιβεβαιωμένες μολύνσεις του iPhone του ευρωβουλευτή στις ημερομηνίες 21 Οκτωβρίου 2022 και 6–7 Μαρτίου 2023. Στο πρώτο περιστατικό οι ερευνητές συνδέουν τη συμβολοσειρά εκμετάλλευσης με τον αλυσίδα zero-click που ονομάζεται PWNYOURHOME, η οποία εκμεταλλεύεται υπηρεσίες της Apple όπως το HomeKit και το iMessage, χωρίς να απαιτείται καμία ενέργεια από τον χρήστη.
Τα αρχεία καταγραφής που ανέσυραν οι ειδικοί έδειξαν ένα ύποπτο HomeKit lookup συνδεδεμένο με τον αναγνωριστικό λογαριασμό rauharepo888[@]gmail.com, το οποίο ακολούθησε άμεσα δραστηριότητα του Pegasus μέσω κινητών δεδομένων. Αυτά τα ευρήματα, σε συνδυασμό με τεχνικά signatures, υποδεικνύουν σιωπηλές, «userless» παραβιάσεις — μορφή επίθεσης που χαρακτηρίζεται από εξαιρετική τεχνολογική πολυπλοκότητα.
Η συσκευή εκείνη την περίοδο τρέχει iOS 15.5, μια έκδοση που, όπως επισημαίνει η έρευνα, δεν περιλάμβανε ακόμα τις διορθώσεις που κυκλοφόρησε η Apple σε μεταγενέστερα builds. Οι ερευνητές ανακάλυψαν ότι το exploit ακολουθούσε μια αλυσίδα με payload τύπου NSKeyedArchive μέσω του HomeKit και συνέχεια περνούσε στα εσωτερικά συστήματα επεξεργασίας μηνυμάτων όπως το MessagesBlastDoorService.
Ποια τεχνική χρησιμοποιήθηκε και γιατί είναι σοβαρή
Οι zero-click exploits είναι η «απόλυτη» μορφή επίθεσης για όποιον θέλει αθόρυβα πρόσβαση σε έναν στόχο. Σε αντίθεση με τις πιο συνηθισμένες επιθέσεις που απαιτούν να πατήσει ο χρήστης έναν σύνδεσμο ή να εγκαταστήσει κάτι, τα zero-click εκμεταλλεύονται ευπάθειες σε υπηρεσίες που επεξεργάζονται αυτόματα μηνύματα ή συσκευές smart home. Αυτό καθιστά την ανίχνευση, την πρόληψη και την εκπαίδευση των χρηστών πολύ πιο δύσκολες.
Το τεχνικό ενδιαφέρον εδώ είναι ότι το exploit αξιοποιεί υποσυστήματα που σχετίζονται με την επεξεργασία πολυμέσων και την απομακρυσμένη διαχείριση HomeKit συσκευών — όχι απλώς το iMessage. Αυτού του είδους οι αλυσίδες εκμετάλλευσης συνήθως απαιτούν συνδυασμό προηγμένης γνώσης, πόρων και προέλευσης του λογισμικού-εργαλείου, κάτι που επιβεβαιώνει την «mercenary» φύση του Pegasus.
Συνάφεια με το έργο της επιτροπής PEGA και οι χρόνοι των επιθέσεων
Σημαντικό στοιχείο είναι η χρονική σύμπτωση μεταξύ των μολύνσεων και κρίσιμων σταδίων της δουλειάς της PEGA Committee. Η πρώτη παραβίαση έγινε λίγες μέρες πριν από μεγάλες ακροάσεις και κατά την συγγραφή του προσχεδίου της επιτροπής, ενώ η δεύτερη συνέβη κατά την τελική διαβούλευση της έκθεσης και την παρουσία του ευρωβουλευτή στις Βρυξέλλες.
Αυτή η χρονική σχέση δεν αποδεικνύει από μόνη της ποιος βρισκόταν πίσω από την επίθεση, αλλά αυξάνει σημαντικά την πιθανότητα ότι οι επιτιθέμενοι επιδίωκαν πρόσβαση σε εσωτερικές επικοινωνίες, έγγραφα και στρατηγικές συζητήσεις σε πραγματικό χρόνο. Σε ένα περιβάλλον όπου οι λεπτομέρειες πολιτικών διαπραγματεύσεων μπορούν να αλλάξουν την έκβαση νομοθετικών διαδικασιών, το να αποκτήσει κάποιος τέτοια πληροφόρηση έχει ιδιαίτερη σημασία.
Ειδοποιήσεις απειλής και προβλήματα χρηστικότητας
Η έκθεση σημειώνει επίσης ότι ο ευρωβουλευτής έλαβε πολλαπλές ειδοποιήσεις από την Apple μεταξύ 2023 και 2024 που ανέφεραν πιθανή δραστηριότητα mercenary spyware. Παρά την ύπαρξη αυτών των προειδοποιήσεων, φέρεται ότι δεν προσέλκυσαν την προσοχή του χρήστη εκείνη την περίοδο, γεγονός που αναδεικνύει ένα πρακτικό πρόβλημα: η αποτελεσματικότητα των ειδοποιήσεων ασφαλείας εξαρτάται σε μεγάλο βαθμό από τη σαφήνεια, τη συχνότητα και την κατανόηση των χρηστών.
Ακόμη κι όταν τα λειτουργικά συστήματα παρέχουν μηνύματα συναγερμού, αυτά μπορούν να φαίνονται τεχνικά, να εμφανίζονται καθυστερημένα ή να χάνονται μέσα σε μεγάλο όγκο ειδοποιήσεων. Η περίπτωση αυτή υπογραμμίζει την ανάγκη για πιο προσαρμοσμένες, εννοιολογικά σαφείς και διαδικαστικά χρήσιμες ειδοποιήσεις προς πρόσωπα με υψηλή ευθύνη, όπως οι βουλευτές και το προσωπικό τους.
Ποιος μπορεί να ήταν πίσω από την επίθεση;
Η έκθεση του Citizen Lab χαρακτηρίζει την εμπλοκή του Pegasus με υψηλό βαθμό βεβαιότητας, αλλά αποφεύγει την άμεση απόδοση ευθύνης σε συγκεκριμένο κράτος. Δεν βρέθηκαν στοιχεία που να συνδέουν την επίθεση με την ελληνική κυβέρνηση, όπως ξεκαθαρίζεται στο κείμενο.
Αντίθετα, το εύρημα της επαναχρησιμοποίησης του αναγνωριστικού rauharepo888[@]gmail.com σε προηγούμενες εκστρατείες που στόχευαν Ρώσους και Λευκορώσους εξόριστους δημοσιογράφους και ακτιβιστές στην Ευρώπη δείχνει πως ο πελάτης του «εργαλείου» πιθανόν όφειλε επιχειρησιακή εξουσιοδότηση σε πολλές ευρωπαϊκές δικαιοδοσίες. Αυτό δεν απαντά τελικά στο ερώτημα «ποιος» πλήρωσε ή διέταξε την επίθεση, αλλά δείχνει μοτίβα συμπεριφοράς ενός εξακτινωμένου επιχειρησιακού δικτύου.
Τι προτείνει το Citizen Lab και τι μπορούν να κάνουν οι θεσμοί
Το Citizen Lab καλεί σε άμεση δράση: συστηματικό forensics σε όλες τις συσκευές που χρησιμοποιούν μέλη και προσωπικό της Βουλής, ενεργοποίηση πιο αυστηρών μέτρων ασφάλειας όπως lockdown modes για κινητές συσκευές, και επίσημες έρευνες από ευρωπαϊκούς θεσμούς για να διερευνηθούν οι εκτεταμένες επιπτώσεις.
Επιπλέον, η ομάδα ζητά βελτίωση των μηχανισμών αναφοράς απειλών και καλύτερο συντονισμό αμυντικών μέτρων μεταξύ κυβερνητικών σωμάτων της ΕΕ. Στην πράξη αυτό μπορεί να σημαίνει κεντρικά πρωτόκολλα ανταλλαγής ευρημάτων, προδιαγραφές για συσκευές που διαχειρίζονται εμπιστευτικές πληροφορίες και επενδύσεις σε εξειδικευμένο προσωπικό κυβερνοασφάλειας στα όργανα της ΕΕ.
Τα μέτρα αυτά, πέρα από τεχνικές ανησυχίες, έχουν και οργανωτική διάσταση: απαιτούν αλλαγή κουλτούρας, σαφείς κανόνες για χρήση προσωπικών συσκευών στην εργασία και σχεδιασμό διαδικασιών κρίσης όταν εντοπίζονται παραβιάσεις.
Τι αλλάζει στην πράξη
Η υπόθεση αυτή δεν είναι απλώς μια τεχνική έκθεση για ένα hacked τηλέφωνο. Δείχνει ότι εμπορικά spyware με ικανότητα zero-click μπορούν να στοχεύσουν θεσμούς που υποτίθεται πως προστατεύουν τη δημοκρατική λογοδοσία. Η πρώτη πρακτική συνέπεια είναι ότι οι ευρωβουλευτές και τα γραφεία τους πρέπει να θεωρήσουν την ασφάλεια των συσκευών ως κρίσιμο ζήτημα δημόσιας πολιτικής, όχι ως προσωπικό πρόβλημα IT.
Στο επίπεδο της πολιτικής, αυξάνει την πίεση για νομοθετικά μέτρα που θα ρυθμίζουν την εμπορία και τη χρήση «mercenary spyware», καθώς και για διεθνείς συμφωνίες που θα θέτουν όρια στην εξαγωγή τέτοιων εργαλείων. Σε τεχνικό επίπεδο, αναμένεται μεγαλύτερη χρήση εξειδικευμένων ασφαλών συσκευών, εφαρμογή «air-gapped» πρακτικών για ευαίσθητο υλικό και πιο ουσιαστική συνεργασία με κατασκευαστές λογισμικού για ταχύτερα patches.
Τέλος, υπάρχει η ευρύτερη κοινωνική διάσταση: όταν εργαλεία παρακολούθησης διατίθενται σε πελάτες με αμφίβολες χρήσεις, οι δημοκρατικές διαδικασίες υπονομεύονται. Η υπόθεση του Στέλιου Κούλογλου λειτουργεί ως προειδοποίηση ότι οι προστατευτικές δομές χρειάζονται αναβάθμιση και ότι τα κράτη μέλη της ΕΕ οφείλουν να αντιμετωπίσουν με αποφασιστικότητα την πρόκληση.