Pegasus infecta eurodeputado que investigava o próprio spyware, revela Citizen Lab

Ex-membro do comitê PEGA do Parlamento Europeu teve celular repetidamente hackeado pelo Pegasus durante a investigação sobre abusos de spyware comercial, aponta análise forense do Citizen Lab.

img1

Ex-eurodeputado que investigava o abuso de spyware comercial na União Europeia teve seu próprio telefone repetidamente infectado pelo Pegasus, segundo revela nova análise forense do Citizen Lab. O caso envolve Stelios Kouloglou, membro do comitê PEGA — grupo do Parlamento Europeu criado justamente para investigar a utilização de ferramentas de vigilância contra jornalistas, ativistas e políticos no bloco — e expõe um paradoxo perturbador: os investigadores estavam sendo espionados enquanto conduziam a investigação.

O que aconteceu

Pesquisadores do Citizen Lab — laboratório interdisciplinar da Universidade de Toronto especializado em vigilância digital — publicaram análise forense do dispositivo móvel do ex-eurodeputado grego Stelios Kouloglou apontando múltiplas infecções pelo Pegasus, o spyware mercenário desenvolvido pelo NSO Group israelense. As infecções ocorreram no período em que ele integrava o comitê PEGA, criado em março de 2022 justamente para investigar o uso e abuso de ferramentas de vigilância comerciais dentro da União Europeia.

Segundo o relatório, os atacantes teriam potencial acesso a documentos confidenciais do comitê e às deliberações internas. Os pesquisadores John Scott-Railton, Bill Marczak, Bahr Abdul Razzak, Kate Pundyk, Siena Anstis e Ron Deibert assinam a investigação. As infecções não foram atribuídas a nenhum governo específico, e não há evidências de envolvimento do governo grego neste caso concreto.

Contudo, o Citizen Lab identificou uma sobreposição forense entre a primeira infecção contra Kouloglou e uma campanha anterior direcionada a jornalistas e ativistas exilados falantes de russo e bielorrusso na Europa — o que estreita significativamente o círculo de operadores Pegasus que poderiam ser responsáveis pelo ataque.

Como o ataque foi identificado

A análise seguiu a metodologia padrão do Citizen Lab: extração forense do dispositivo, correlação de artefatos com indicadores de comprometimento (IOCs) já conhecidos do Pegasus e comparação com infraestrutura de rede identificada em campanhas anteriores. O Pegasus é conhecido por explorar cadeias de vulnerabilidades zero-click — sequências que comprometem o aparelho sem qualquer interação do alvo, geralmente por meio de mensagens iMessage, WhatsApp ou notificações push malformadas.

“Através da análise forense do dispositivo, constatamos que os atacantes poderiam ter acesso a documentos confidenciais e às deliberações do comitê”, afirmam os pesquisadores do Citizen Lab.

O timing é o dado mais politicamente significativo do caso: um membro ativo de um comitê parlamentar que investigava o abuso de spyware estava sendo alvo dessa mesma ferramenta durante o exercício das suas funções — o que, na prática, comprometeria não apenas a privacidade individual do parlamentar, mas a própria integridade do processo investigativo do bloco.

Quem é afetado

  • Instituições europeias — o caso levanta dúvidas sobre a segurança das comunicações internas do Parlamento Europeu e sobre a real proteção oferecida a legisladores em investigações sensíveis.
  • Jornalistas e ativistas exilados — a sobreposição com campanhas anteriores contra dissidentes russos e bielorrussos reforça o padrão de uso do Pegasus contra a sociedade civil.
  • Governos e reguladores — o episódio reacende o debate sobre a necessidade de regulação efetiva do mercado de vigilância mercenária dentro da UE.
  • Usuários de dispositivos móveis — mesmo com o modo Lockdown da Apple e proteções similares, o risco de exploração zero-click contra alvos de alto valor persiste.

Análise

A revelação se soma a um padrão consolidado: desde o “Pegasus Project” de 2021, o Citizen Lab e outros grupos vêm documentando o uso do NSO Group contra jornalistas no México, ativistas no Marrocos, opositores na Espanha (o “CatalanGate”) e agora, com Kouloglou, contra o próprio corpo político do bloco europeu. O que muda no caso presente é o alvo institucional: infectar um membro do comitê que investiga o spyware equivale a espionar o investigador durante o inquérito — uma prática que, se atribuída a um Estado-membro, teria consequências diplomáticas e jurídicas severas.

Vale contextualizar: dias antes da publicação sobre Kouloglou, o Citizen Lab também divulgou que autoridades russas utilizaram as ferramentas forenses UFED da Cellebrite para acessar o iPhone do ativista opositor detido Andrey Pivovarov em junho de 2021 — três meses depois de a Cellebrite anunciar publicamente que suspenderia serviços a Rússia e Belarus. O caso Pivovarov ilustra outra face do mesmo problema: mesmo empresas que declaram compromissos éticos veem suas ferramentas sendo reutilizadas contra dissidentes em regimes autoritários.

Para o mercado de spyware comercial, o efeito cumulativo dessas revelações é claro: pressão regulatória crescente, tensão diplomática entre países cliente e países-alvo, e maior risco reputacional para investidores. Para a defesa, o recado é o de sempre — a mitigação técnica é insuficiente sem escrutínio político sobre quem compra e quem opera essas ferramentas.

Recomendações práticas

  • Ative o modo Lockdown da Apple em iPhones de perfis de alto risco (jornalistas, ativistas, políticos, executivos) — não é infalível, mas reduz materialmente a superfície de ataque zero-click.
  • Mantenha o sistema operacional e apps de mensagens sempre atualizados, especialmente iMessage, WhatsApp e serviços de e-mail — a maioria das cadeias Pegasus explora vulnerabilidades corrigidas em versões recentes.
  • Adote dispositivos “burner” para reuniões sensíveis ou viagens a jurisdições de risco, mantendo o aparelho principal em modo avião ou fisicamente separado.
  • Considere análises forenses periódicas — o Mobile Verification Toolkit (MVT) do Amnesty International Security Lab permite verificar indicadores conhecidos do Pegasus em backups.
  • Segmente conversas críticas em canais criptografados dedicados (Signal com desaparecimento automático) e evite discutir informações sensíveis em SMS ou por chamadas comuns.
  • Instituições devem revisar políticas de dispositivos corporativos, com MDM restritivo, monitoramento de tráfego anômalo e planos de resposta a comprometimento suspeito.

Fonte: The Hacker News

Social Media Auto Publish Powered By : XYZScripts.com