Специалисты по цифровой безопасности подтвердили новый и по-своему показательный случай слежки: телефон одного из депутатов Европарламента был взломан шпионским ПО Pegasus в тот самый период, когда он работал в комитете, расследующем злоупотребления этим же инструментом. История вновь ставит вопрос о том, кто на самом деле контролирует рынок коммерческого шпионского софта — и может ли такой контроль вообще существовать, если под ударом оказываются даже те, кто должен его расследовать.

  • Бывший депутат Европарламента, греческий журналист Стелиос Кулоглу, был взломан Pegasus не менее трёх раз — в октябре 2022-го и в марте 2023 года
  • Взломы пришлись на ключевые этапы работы комитета PEGA, расследовавшего слежку с помощью шпионского ПО в пяти странах ЕС
  • Атака использовала уязвимость «нулевого клика» в HomeKit на iPhone — заражение происходило без каких-либо действий со стороны жертвы
  • След ведёт к тому же адресу электронной почты, что использовался ранее против журналистов и активистов из России и Беларуси
  • Кулоглу намерен подать в суд на NSO Group — производителя Pegasus

Заседание ЕвропарламентаИсточник изображения - Thierry Monasse / Getty Images

Расследование провела канадская правозащитная организация Citizen Lab при Университете Торонто — структура, которая уже много лет занимается технической экспертизой атак с использованием коммерческого шпионского ПО. По её данным, случай Кулоглу стал первым публично подтверждённым эпизодом, когда жертвой Pegasus оказался действующий член комитета PEGA — специальной комиссии Европарламента, созданной 10 марта 2022 года именно для того, чтобы разобраться, как правительства стран ЕС используют шпионское ПО против журналистов, политиков и правозащитников. Кулоглу входил в комитет как заместитель члена с марта 2022-го по июль 2023 года — то есть на протяжении всей его работы.

Как произошёл взлом

По данным экспертизы, первое заражение случилось 21 октября 2022 года и было проведено через цепочку эксплойтов, использующую уязвимость в приложении HomeKit для «умного дома» на iPhone — той самой платформе Apple для управления устройствами дома. Атака относится к типу «нулевого клика»: шпионское ПО проникло на телефон и начало собирать данные без какого-либо участия владельца — не нужно было переходить по ссылке или открывать файл. Уязвимость Apple закрыла позже, с выходом обновления iOS 16.3.1, однако на момент атаки телефон Кулоглу обновление ещё не получил. Второе и третье заражения зафиксированы 6 и 7 марта 2023 года, пока Кулоглу перемещался из Афин в Брюссель.

Совпадение с ключевыми моментами расследования

Даты взломов не выглядят случайными. Первое заражение произошло, когда Кулоглу находился в греческой больнице на плановой операции — и именно в тот день его навестил журналист-расследователь Танасис Кукакис, который сам ранее подтверждённо был целью другого шпионского ПО — Predator — и незадолго до этого давал показания комитету PEGA. Если разговор в больничной палате действительно прослушивался, речь может идти ещё и о нарушении конфиденциальности медицинских данных. Мартовские взломы 2023 года пришлись на период интенсивной подготовки итогового доклада комитета — незадолго до того, как PEGA согласовала и приняла финальный текст с выводами о злоупотреблениях слежкой на Кипре, в Греции, Венгрии, Польше и Испании.

След ведёт к слежке за журналистами из России и Беларуси

Один из самых значимых выводов отчёта — техническое совпадение. Электронный адрес, использованный для заражения телефона Кулоглу через HomeKit в 2022 году, ранее уже фигурировал в другом расследовании Citizen Lab — о кампании Pegasus против русско- и белорусскоязычных журналистов и активистов в изгнании, живущих в Европе. По оценке исследователей, такие адреса обычно привязаны к конкретному оператору Pegasus, а значит, за атакой на Кулоглу и за слежкой в отношении оппозиционных журналистов из России и Беларуси, вероятно, стоит один и тот же заказчик — с лицензией NSO Group, позволяющей вести слежку сразу в нескольких странах Евросоюза. Кто именно выступал заказчиком, установить не удалось; Citizen Lab прямо заявляет, что не нашла никаких признаков причастности властей Греции.

Реакция Кулоглу и депутатов Европарламента

Кулоглу назвал сам факт слежки за ним безрассудным и подчеркнул, что теряет не только рабочую переписку с чиновниками, но и самые личные вещи — переписку о счастливых и тяжёлых моментах жизни. Немецкий депутат Европарламента Ханна Нойман, тоже работавшая в комитете PEGA, отреагировала жёстко: по её словам, шпионское ПО не делает демократии безопаснее, а сам случай показывает, что депутатам и их аппарату стоит регулярно проверять устройства на заражение. Основатель Citizen Lab Рон Дайберт назвал ситуацию откровенно ироничной: расследовавший злоупотребления Pegasus комитет сам оказался мишенью того же инструмента — и это лишний раз подтверждает, что рынок коммерческого шпионского ПО фактически не поддаётся контролю. Официального ответа от NSO Group и Еврокомиссии на запросы журналистов не последовало.

Кулоглу — не первый евродепутат под ударом

История с Pegasus и европарламентариями не нова — просто раньше среди жертв не было тех, кто сам расследовал такие атаки.

  • Каталонские депутаты Европарламента Диана Риба, Жорди Соле и Карлес Пучдемон — были заражены Pegasus ещё в 2019–2020 годах на фоне слежки за каталонским независимым движением
  • Французский депутат Натали Луазо подтвердила, что стала целью Pegasus в 2024 году
  • Немецкий депутат Даниэль Фройнд был атакован другим шпионским ПО — Candiru

NSO Group под давлением

Компания-разработчик Pegasus, израильская NSO Group, уже несколько лет находится под пристальным вниманием регуляторов и судов. В 2021 году её внесли в чёрный список власти США — с формулировкой о деятельности, противоречащей интересам национальной безопасности страны. Позже американский суд запретил компании атаковать пользователей мессенджера WhatsApp, указав на прямой вред, который причиняет такое ПО. Несмотря на репутационные потери, в компанию, по имеющимся данным, ранее вложила десятки миллионов долларов неназванная американская инвестиционная группа — судя по всему, в попытке частично восстановить доверие к бренду.

Кулоглу заявил, что намерен подать иск против NSO Group, и объяснил своё решение публично рассказать о случившемся стремлением защитить демократию, права человека и бороться с коррупцией — по его словам, эта проблема касается каждого, а не только политиков и журналистов.