
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Pegasus to zaawansowane oprogramowanie szpiegujące zaliczane do kategorii mercenary spyware, projektowane z myślą o skrytym przejmowaniu kontroli nad urządzeniami mobilnymi. Tego typu platformy umożliwiają pozyskiwanie wiadomości, danych lokalizacyjnych, historii połączeń, plików oraz innych wrażliwych informacji bez wiedzy użytkownika. Najnowszy ujawniony przypadek pokazuje, że ofiarą takiej operacji mógł paść były członek Parlamentu Europejskiego zaangażowany w badanie nadużyć komercyjnych narzędzi inwigilacyjnych.
W skrócie
Badacze zajmujący się kryminalistyką cyfrową ustalili, że iPhone Steliosa Kouloglou był wielokrotnie infekowany spyware Pegasus w czasie, gdy polityk zasiadał w komisji PEGA badającej wykorzystanie Pegasusa i podobnych narzędzi w Unii Europejskiej. Analiza wskazuje na co najmniej trzy epizody aktywności związanej z kompromitacją urządzenia.
Według ustaleń wektor ataku mógł wykorzystywać exploit zero-click związany z Apple HomeKit, znany jako PWNYOURHOME. To szczególnie istotne, ponieważ incydent mógł umożliwić napastnikom dostęp do poufnych materiałów oraz komunikacji związanej z pracami komisji badającej właśnie nadużycia spyware.
Kontekst / historia
Komisja PEGA została powołana do zbadania skali nadużyć związanych z komercyjnym spyware w państwach członkowskich Unii Europejskiej i poza nimi, zwłaszcza w obszarze praw podstawowych, wolności obywatelskich oraz nadzoru nad instytucjami demokratycznymi. Ujawniona sprawa dotyczy osoby, która pełniła funkcję w tej komisji od marca 2022 roku do lipca 2023 roku.
Z dostępnych ustaleń wynika, że pierwszy znany epizod kompromitacji miał miejsce około 21 października 2022 roku, natomiast kolejne aktywności odnotowano 6 i 7 marca 2023 roku. Daty te pokrywają się z okresem intensywnych prac komisji nad oceną wykorzystania spyware, przygotowaniem raportów oraz przesłuchań, co wzmacnia obawy o możliwą próbę uzyskania wglądu nie tylko w prywatną komunikację ofiary, ale również w unijny proces polityczny i dochodzeniowy.
Analiza techniczna
Najważniejszym elementem technicznym tej sprawy jest prawdopodobne wykorzystanie exploita zero-click PWNYOURHOME. Ataki zero-click należą do najbardziej niebezpiecznych form kompromitacji, ponieważ nie wymagają od użytkownika żadnej interakcji, takiej jak kliknięcie odnośnika, otwarcie załącznika czy zaakceptowanie połączenia. W praktyce znacząco utrudnia to zarówno wykrycie ataku, jak i skuteczne zapobieganie infekcji.
W analizowanym przypadku badacze znaleźli artefakty wskazujące na wykorzystanie komponentów powiązanych z Apple HomeKit. Jeden z kluczowych śladów obejmował zapytanie dotyczące adresu e-mail połączonego z infrastrukturą operacyjną, po którym odnotowano aktywność procesu Pegasusa wykorzystującego transmisję danych mobilnych. Ten sam exploit miał zostać użyty również podczas późniejszych infekcji z marca 2023 roku.
Istotny jest także stan aktualizacji urządzenia. Telefon ofiary działał na iOS 15.5, podczas gdy luka wykorzystywana w tym łańcuchu ataku została załatana dopiero w iOS 16.3.1. To kolejny przykład, jak długi czas pozostawania na starszej wersji systemu może zwiększać ekspozycję na zaawansowane kampanie wymierzone w konkretne osoby.
Badacze zauważyli również powiązanie części aktywności z wcześniej obserwowaną kampanią wymierzoną w rosyjsko- i białoruskojęzycznych dziennikarzy oraz aktywistów przebywających w Europie. Wspólny element infrastrukturalny może sugerować użycie tego samego operatora lub klienta zdolnego do prowadzenia operacji inwigilacyjnych w różnych jurysdykcjach europejskich, choć publicznie nie przypisano ataku konkretnemu państwu.
Konsekwencje / ryzyko
Skutki takiej kompromitacji mogą być wielowymiarowe. Przejęcie telefonu osoby publicznej zaangażowanej w dochodzenie dotyczące spyware stwarza możliwość pozyskania poufnych materiałów roboczych, komunikacji z innymi członkami komisji, informacji o świadkach, harmonogramach oraz planowanych działaniach politycznych i prawnych.
Incydent podważa również zaufanie do bezpieczeństwa komunikacji osób pełniących funkcje publiczne. Skoro skuteczny atak mógł dotknąć członka komisji badającej Pegasus, podobne ryzyko należy rozpatrywać także wobec dziennikarzy śledczych, aktywistów, prawników, dyplomatów i urzędników wysokiego szczebla.
Sprawa uwidacznia też strategiczne znaczenie spyware jako narzędzia wywiadowczego i politycznego. W przeciwieństwie do klasycznego malware nastawionego na szybki zysk finansowy, Pegasus umożliwia długotrwały i trudny do wykrycia nadzór nad ofiarą oraz jej siecią kontaktów. To otwiera drogę do rozpoznania, zbierania kompromitujących informacji, mapowania relacji i przygotowywania kolejnych operacji.
Rekomendacje
Organizacje publiczne, media, podmioty społeczeństwa obywatelskiego oraz osoby narażone na targeted attacks powinny wdrożyć model ochrony odpowiadający przeciwnikowi klasy państwowej lub quasi-państwowej.
- rygorystyczne zarządzanie aktualizacjami systemów iOS oraz Android,
- ograniczenie użycia urządzeń prywatnych do komunikacji służbowej,
- segmentacja danych i kanałów komunikacyjnych,
- stosowanie trybów podwyższonej ochrony dla urządzeń wysokiego ryzyka,
- okresowa analiza kryminalistyczna urządzeń mobilnych osób szczególnie narażonych.
W obszarze detekcji i reagowania warto uwzględnić następujące działania:
- monitorowanie alertów producentów dotyczących mercenary spyware,
- wdrożenie procedur szybkiej izolacji urządzenia po otrzymaniu powiadomienia o możliwym ataku,
- zabezpieczanie logów, kopii zapasowych i artefaktów systemowych do analizy,
- współpracę z wyspecjalizowanymi laboratoriami mobile forensics i threat intelligence,
- uwzględnienie scenariuszy spyware w planach incident response.
Na poziomie strategicznym potrzebne są również:
- odrębne polityki bezpieczeństwa dla parlamentarzystów, dziennikarzy i organizacji praw człowieka,
- szkolenia z zakresu zagrożeń zero-click i spear-phishing,
- przegląd ekspozycji komunikacyjnej osób pełniących funkcje wrażliwe,
- formalne procedury raportowania i eskalacji incydentów obejmujących komercyjne narzędzia inwigilacyjne.
Podsumowanie
Ujawniona kompromitacja telefonu byłego europosła badającego nadużycia spyware to incydent o wysokiej wadze politycznej i bezpieczeństwa. Sprawa pokazuje, że zaawansowane platformy inwigilacyjne nadal stanowią realne zagrożenie dla instytucji demokratycznych, procesów dochodzeniowych oraz osób pełniących funkcje publiczne.
Z perspektywy technicznej kluczowe znaczenie ma wykorzystanie exploita zero-click oraz trudność wykrywania aktywności Pegasusa na urządzeniach mobilnych. Wnioski obronne są jednoznaczne: ochrona urządzeń wysokiego ryzyka musi opierać się na szybkich aktualizacjach, analizie kryminalistycznej oraz procedurach bezpieczeństwa przygotowanych na działania przeciwnika o bardzo wysokich kompetencjach.
Źródła
- European Parliament Member Investigating Spyware Was Hacked With Pegasus — https://thehackernews.com/2026/07/european-parliament-member.html
- Citizen Lab statement and forensic findings — https://citizenlab.ca/2026/07/former-member-of-the-european-parliament-hacked-with-pegasus/
- European Parliament: Committee of Inquiry to investigate the use of Pegasus and equivalent surveillance spyware — https://www.europarl.europa.eu/committees/en/pega/home/highlights
- Apple security updates for iOS 16.3.1 — https://support.apple.com/en-us/HT213635