
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Pegasus to zaawansowane oprogramowanie szpiegujące klasy mercenary spyware, wykorzystywane do ukierunkowanej inwigilacji urządzeń mobilnych. Tego typu narzędzia są zwykle stosowane przeciwko celom o wysokiej wartości operacyjnej, takim jak politycy, dziennikarze, aktywiści i prawnicy. Najnowsze ustalenia wskazują, że ofiarą takiego ataku padł były poseł do Parlamentu Europejskiego Stelios Kouloglou, który w czasie kompromitacji zasiadał w komisji PEGA badającej nadużycia związane z użyciem Pegasusa i podobnych narzędzi.
W skrócie
Sprawa dotyczy potwierdzonej infekcji iPhone’a byłego eurodeputowanego z użyciem Pegasusa w okresie, gdy uczestniczył on w pracach komisji śledczej PEGA. Analiza śledcza wykazała kilka epizodów kompromitacji w latach 2022–2023, w tym ataki powiązane z zero-click exploitem PWNYOURHOME wykorzystującym komponenty Apple HomeKit.
- Celem był członek komisji badającej nadużycia spyware w UE.
- Ataki miały miejsce w kluczowych momentach prac komisji.
- Wykorzystany wektor nie wymagał interakcji użytkownika.
- Incydent rodzi ryzyko naruszenia poufności procesów politycznych i legislacyjnych.
Kontekst / historia
Komisja PEGA została powołana przez Parlament Europejski w marcu 2022 roku w celu zbadania domniemanych nadużyć związanych z Pegasus i równoważnym oprogramowaniem szpiegującym. Jej mandat obejmował analizę wykorzystania narzędzi nadzoru wobec obywateli, dziennikarzy oraz przedstawicieli życia publicznego w państwach Unii Europejskiej, a prace trwały do połowy 2023 roku.
W tym samym okresie Stelios Kouloglou, były eurodeputowany i dziennikarz śledczy, miał zostać zaatakowany przez operatora Pegasusa. Szczególną wagę sprawie nadaje fakt, że ofiarą był członek gremium badającego nadużycia dokładnie tego rodzaju technologii. Oznacza to potencjalne ryzyko uzyskania dostępu do roboczej korespondencji, projektów dokumentów oraz ustaleń dotyczących kierunku prac komisji.
Analiza techniczna
Z ustaleń badaczy wynika, że kompromitacje następowały w newralgicznych momentach prac komisji. Wskazano incydenty z 21 października 2022 roku oraz z 6 i 7 marca 2023 roku, co sugeruje operację prowadzoną z precyzyjną intencją wywiadowczą i zsynchronizowaną z aktywnością instytucjonalną ofiary.
Najistotniejszy technicznie element dotyczy wykorzystania exploitu PWNYOURHOME. Jest to łańcuch ataku typu zero-click, który nie wymaga od użytkownika kliknięcia w link, otwarcia załącznika ani wykonania jakiejkolwiek akcji. Mechanizm ten był powiązany z platformą Apple HomeKit i umożliwiał dostarczenie złośliwego ładunku bez widocznych oznak kompromitacji.
Badacze wskazali artefakty sugerujące użycie specjalnie przygotowanego obiektu danych, który trafiał do ekosystemu HomeKit, a następnie inicjował dalszy etap ataku w komponentach odpowiedzialnych za przetwarzanie wiadomości. To model typowy dla nowoczesnych operacji spyware na iOS: krótki czas działania, ograniczony ślad systemowy i wykorzystanie niejawnych podatności lub błędów logicznych w usługach systemowych.
Dodatkowym elementem potwierdzającym incydent są powiadomienia Apple o zagrożeniu związanym z mercenary spyware. Tego rodzaju alerty nie identyfikują publicznie operatora, ale są traktowane jako sygnały wysokiego zaufania wskazujące na ukierunkowany atak prowadzony przez zaawansowanego przeciwnika.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją infekcji Pegasusem jest możliwość uzyskania szerokiego wglądu w aktywność urządzenia mobilnego. W zależności od etapu działania implant może zapewnić dostęp do wiadomości, połączeń, mikrofonu, zdjęć, danych aplikacyjnych, lokalizacji oraz metadanych komunikacyjnych.
W przypadku osoby zaangażowanej w prace komisji parlamentarnej skutki wykraczają poza sferę prywatności. Zagrożona staje się poufność informacji politycznych, instytucjonalnych i operacyjnych. Nawet jeśli atak był wymierzony w jedno urządzenie, jego skutki mogą objąć współpracowników, asystentów, rozmówców oraz inne osoby kontaktujące się z ofiarą.
Ryzyko ma też wymiar strategiczny. Jeśli celem staje się osoba badająca nadużycia nadzoru cyfrowego, incydent można postrzegać jako zagrożenie dla integralności procedur demokratycznych oraz jako element wywiadu politycznego.
Rekomendacje
Organizacje publiczne, redakcje, kancelarie prawne i wszystkie podmioty pracujące z informacją wrażliwą powinny zakładać, że standardowe zabezpieczenia endpointów mogą być niewystarczające wobec spyware klasy Pegasus. Konieczne jest podejście wielowarstwowe.
- Regularnie aktualizować urządzenia mobilne i objąć je rygorystycznym zarządzaniem konfiguracją.
- Traktować alerty od producentów platform, w tym Apple threat notifications, jako incydenty wymagające natychmiastowej eskalacji.
- Rozważyć stosowanie trybów ograniczających powierzchnię ataku, takich jak Lockdown Mode.
- Oddzielać komunikację prywatną od służbowej na poziomie urządzeń i kanałów kontaktu.
- Prowadzić regularne badania kryminalistyczne telefonów osób wysokiego ryzyka.
- Ograniczać zakres przesyłanych danych zgodnie z zasadą need-to-know.
Podsumowanie
Przypadek Steliosa Kouloglou to jeden z najbardziej wyrazistych przykładów zagrożeń, jakie niesie komercyjne oprogramowanie szpiegujące. Atak nie był przypadkowy, lecz dotyczył osoby zaangażowanej w formalne badanie nadużyć nadzoru cyfrowego w Unii Europejskiej. Z perspektywy technicznej incydent pokazuje skuteczność zero-click exploitów i trudność ich wykrywania, a z perspektywy operacyjnej potwierdza, że nowoczesne spyware może służyć nie tylko do kradzieży danych, ale także do ingerencji w procesy polityczne, legislacyjne i śledcze.
Źródła
- Security Affairs — https://securityaffairs.com/194728/malware/pegasus-used-against-mep-investigating-pegasus-citizen-lab-finds.html
- European Parliament — PEGA Committee archive — https://www.europarl.europa.eu/committees/en/archives/9/pega
- Apple Support — About Apple threat notifications and protecting against mercenary spyware — https://support.apple.com/en-us/102174
- The Hacker News — European Parliament Member Investigating Spyware Was Hacked With Pegasus — https://thehackernews.com/2026/07/european-parliament-member.html
- Citizen Lab report reference via archived public discovery results — https://citizenlab.ca/wp-content/uploads/2025/12/Report165-triple-threat.pdf