O software de hacking do Grupo NSO foi usado repetidamente contra um legislador europeu enquanto ele investigava violações de spyware na Europa, de acordo com um novo relatório.
Pesquisadores do Citizen Lab da Universidade de Toronto dizem que não podem vincular o ataque a Stelios Kouloglou a qualquer operador de spyware do governo, Pegasus. Mas a sua investigação descobriu que o ataque ao antigo membro grego do Parlamento Europeu trazia as características de campanhas de pirataria informática anteriores contra jornalistas russos e bielorrussos exilados na Europa.
“Quando você percebe que sua vida privada está sendo vigiada por pessoas muito más, você fica com raiva”, disse Kouloglou, que também é jornalista e deixou o parlamento em 2024, em entrevista. “Este é um grande problema relacionado à corrupção, à justiça e à democracia.”
O cerne do novo relatório do Citizen Lab reside no trabalho de Kouloglou para uma comissão especial do parlamento europeu conhecida como Pega, que foi fundada em março de 2022 após a publicação do Projeto Pegasus pelo Guardian e um consórcio de meios de comunicação social.
O Projecto Pegasus revela como jornalistas, activistas, políticos e outros membros da sociedade civil estão a ser alvo de governos que utilizam o Pegasus, que foi criado pelo Grupo NSO, com sede em Israel, e vendido a governos de todo o mundo com o objectivo de impedir crimes graves e ataques terroristas. A missão da Pega em 2022 é investigar o âmbito do uso de spyware em violação da legislação da UE.
Kouloglou, um jornalista que foi eleito pela primeira vez para o parlamento europeu como membro do partido Syriza, juntou-se ao comité Pega em março de 2022. O seu dispositivo móvel foi infectado pela primeira vez, disse o Citizen Lab, cerca de sete meses depois, em 21 de outubro de 2022, no que descreveu como “um período de atividade muito intensa” nas deliberações e investigações da Pega, incluindo a elaboração do primeiro relatório do comité.
A NSO não respondeu a um pedido de comentário.
O ataque coincidiu com a internação de Kouloglou no hospital para cirurgia eletiva, onde foi visitado pelo jornalista investigativo grego Thanasis Koukakis.
Na altura, Koukakis estava a trabalhar numa história de spyware mercenário na Grécia, na sequência de um grande escândalo conhecido como “Watergate Grego”, que envolveu o ataque ilegal a mais de 80 pessoas na Grécia, incluindo políticos, jornalistas e oficiais militares. Koukakis foi uma das vítimas visadas e testemunhou anteriormente sobre sua experiência perante o comitê Pega.
O dispositivo de Kouloglou foi hackeado novamente, disse Citizen Lab, em 6 e 7 de março de 2023, enquanto a Pega estava envolvida em intensas discussões sobre a preparação final de seu relatório. O hack coincidiu com a viagem de Kouloglou de Atenas a Bruxelas.
Citizen Lab disse que as revelações em seu relatório marcaram a primeira vez que um membro do comitê da Pega foi alvo de spyware. E isto acontece quando as recomendações do comité são essencialmente ignoradas, disse John Scott-Railton, investigador sénior do Citizen Lab.
após a promoção do boletim informativo
Ele disse: “Este caso é a maior ironia da crise de spyware na Europa. Alguém na comissão encarregada de investigar o Pegasus foi infectado pelo vírus. E o que aconteceu desde então? O Parlamento olhou para o outro lado à medida que surgiram novas violações de spyware na Europa.
“Posso dizer como será a próxima rodada: mais e mais deputados serão hackeados. Na verdade, suspeito que há membros que votaram e participaram de reuniões de alto nível sem saber que seus telefones foram transformados em espiões nos bolsos.”
Embora o Citizen Lab não tenha conseguido determinar que possíveis clientes governamentais usaram o spyware contra o eurodeputado na altura, os investigadores disseram acreditar que os mesmos operadores que o atacaram também visaram sete jornalistas independentes de língua russa e bielorrussa e activistas da oposição baseados na Europa, que foram considerados alvo ou infectados com o spyware Pegasus.
Os pesquisadores identificaram um e-mail Apple ID exclusivo usado no ataque, indicando que veio do mesmo cliente governamental. Os clientes também podem ter licenças para operar na Bélgica e na Grécia, disse Citizen Lab.


