希腊政治家斯泰利奥斯·库洛格卢在担任欧洲议会间谍软件滥用调查委员会(PEGA)成员期间,其手机遭到了 Pegasus 间谍软件的入侵。此次攻击发生在 2022 年至 2023 年,采用了无需用户操作的“零点击”漏洞,窃取了他的私人数据。这起事件是首次公开确认的 PEGA 委员会成员遭同类软件攻击的案例,引发了对政府滥用监控工具打击批评者的严重担忧。库洛格卢表示将起诉开发该软件的 NSO 集团,并强调此举是为了捍卫民主、人权和反腐败。
调查者反被调查
斯泰利奥斯·库洛格卢是一名希腊记者、前政治家,也是欧洲议会议员。他在参与 PEGA 委员会工作,负责调查欧洲各国政府滥用间谍软件的行为时,自己却成为了受害者。
- 受害者身份: 欧洲议会 PEGA 委员会成员。
- 攻击时间: 2022 年至 2023 年。
- 攻击工具: 臭名昭著的 Pegasus 间谍软件。
- 关键意义: 这是 首例 被公开确认的 PEGA 委员会成员遭间谍软件攻击的案件。
这一事件引发了新的争议,即政府如何利用本应用于打击严重犯罪的监控工具,来监视记者、议员和批评者。一位欧洲议员将此次黑客攻击称为对法治的直接攻击。
这起事件提出了新的问题:政府如何使用声称用于识别严重犯罪的间谍软件,却被发现用来监视记者、议员和批评者的通信。
“零点击”攻击手法
此次攻击技术含量高,使用户防不胜防。研究人员确认,攻击者利用了苹果手机软件中的一个安全漏洞。
- 攻击方式: 采用 “零点击” (zero-click) 漏洞。这意味着间谍软件可以在用户毫不知情、也无需任何点击操作的情况下侵入手机。
- 窃取数据: 攻击者可以获取手机中的各类隐私数据,包括短信、邮件、地理位置、照片等。
- 技术源头: 虽然具体攻击者身份不明,但研究人员发现,所使用的 Pegasus 攻击邮箱地址与之前攻击欧洲各地记者时所用的相同。这表明该政府客户获得了 NSO 集团 的授权,在欧洲多国进行跨国监控。
攻击时机与意图
黑客攻击的时间点非常敏感,暗示了攻击者对 PEGA 委员会内部工作的密切关注。
- 2022 年 10 月: 第一次攻击发生时,委员会正在就一份关于塞浦路斯、希腊、匈牙利、波兰和西班牙滥用间谍软件的报告草案进行激烈讨论。巧合的是,库洛格卢当时因预定的手术正在住院,这可能使攻击者能够通过手机麦克风窃听他与访客的交谈。
- 2023 年 3 月: 在库洛格卢从雅典前往布鲁塞尔参加委员会听证会期间,他的手机再次遭到同一 Pegasus 操作者的攻击。
库洛格卢认为,他被盯上的原因正是他在 PEGA 委员会的工作。
对民主的直接攻击
得知自己的手机被黑后,库洛格卢感到愤怒,他意识到自己所有的个人数据,包括与家人朋友分享的快乐和悲伤时刻,都可能被窃取。
“你意识到你所有的个人数据都被拿走了——不仅是工作上的交流或与部长的信息——还有非常私人的东西,比如快乐的时刻和悲伤的时刻。”
他决定将此事公之于众,并计划起诉开发 Pegasus 的以色列公司 NSO 集团。他表示,他这样做是为了捍卫核心价值。
“为了民主、人权和反腐败斗争……腐败关系到每一个人。”