Spionage gegen das Europäische Parlament: Auch ein Pegasus-Untersuchungsausschussmitglied wurde gehackt
(citizenlab.ca)- Das iPhone des ehemaligen Europaabgeordneten und griechischen Investigativjournalisten Stelios Kouloglou wurde während seiner Tätigkeit im PEGA-Ausschuss nachweislich wiederholt mit Pegasus infiziert
- Die Infektionszeitpunkte lagen am 21. Oktober 2022 sowie am 6.–7. März 2023 und fielen damit in Phasen mit viel nicht öffentlicher Kommunikation, etwa zur Vorbereitung von Anhörungen, Berichtsentwürfen und Länderbesuchen
- Die erste Infektion steht im Zusammenhang mit Spuren, wonach unmittelbar nach einer Abfrage der HomeKit-E-Mail-Adresse
rauharepo888[@]gmail.comein Pegasus-Prozess mobile Daten nutzte; sie wird als PWNYOURHOME-Zero-Click-Exploit bewertet - Es wird keine bestimmte Regierung als Urheber benannt, und es gibt auch keine Hinweise auf eine Verantwortung der griechischen Regierung; dieselbe HomeKit-E-Mail wurde jedoch auch in Pegasus-Kampagnen gegen russisch- und belarussischsprachige Exiljournalisten und Aktivisten festgestellt
- Ohne umfassende Untersuchungen der Geräte von Mitgliedern und Mitarbeitern des Europäischen Parlaments lässt sich schwer abschätzen, in welchem Maß vertrauliche Kommunikation des PEGA-Ausschusses und parlamentarische Verfahren Söldner-Spyware ausgesetzt waren
Während der Tätigkeit im PEGA-Ausschuss festgestellte Pegasus-Infektionen
- Stelios Kouloglou ist ein griechischer Politiker und ehemaliger Investigativjournalist, der 2015 ins Europäische Parlament einzog
- Vom 24. März 2022 bis zum 18. Juli 2023 war er stellvertretendes Mitglied des PEGA-Ausschusses des Europäischen Parlaments, der den Einsatz von Pegasus und ähnlicher Überwachungs-Spyware untersuchte
- Der PEGA-Ausschuss wurde am 10. März 2022 eingerichtet, nachdem infolge des Pegasus Project und entsprechender Berichterstattung Enthüllungen bekannt geworden waren, wonach europäische Regierungen Journalisten, Aktivisten, Politiker und Bürger überwacht hatten
- Aufgabe des Ausschusses war es, den Umfang des gegen EU-Recht verstoßenden Spyware-Einsatzes zu untersuchen; Gegenstand der Untersuchung war „Pegasus and equivalent surveillance spyware“
Ergebnisse der iPhone-Forensik
- Im Mai 2026 kontaktierte Kouloglou Citizen Lab; eine forensische Analyse von iPhone-Artefakten bestätigte eine Pegasus-Infektion
- Mit hoher Verlässlichkeit bestätigte Infektionszeitpunkte waren um den 21. Oktober 2022 sowie der 6.–7. März 2023
-
Infektion am 21. Oktober 2022
- Um 10:16 Uhr wurde die HomeKit-E-Mail-Adresse
rauharepo888[@]gmail.comabgefragt; zwei Minuten später nutzte ein Pegasus-Prozess mobile Daten - Diese Infektion wird als Hack über den PWNYOURHOME-Zero-Click-Exploit bewertet
- Bei PWNYOURHOME scheint der Angreifer ein speziell präpariertes NSKeyedArchive an HomeKit zu senden, woraufhin schädliche Inhalte den MessagesBlastDoorService erreichen
- Apple entschärfte das HomeKit-bezogene Problem in iOS 16.3.1; das Problem im MessagesBlastDoorService wurde nach Einschätzung bereits früher behoben, vermutlich in iOS 16.1
- Um 10:16 Uhr wurde die HomeKit-E-Mail-Adresse
-
Infektion am 6.–7. März 2023
- Auch zwischen dem 6. März 2023 um 09:49 Uhr und dem 7. März um 07:30 Uhr wurde Pegasus-Aktivität festgestellt; möglicherweise stand sie mit demselben Exploit in Zusammenhang
- Nach Einschätzung lief auf dem Gerät während der Infektionen 2022 und 2023 iOS 15.5 (19F77)
- Aufgrund der Grenzen der verfügbaren forensischen Daten kann nicht ausgeschlossen werden, dass es weitere, nicht erfasste Infektionen gab
Apple-Bedrohungsbenachrichtigungen und Wahrnehmungsprobleme der Nutzer
- Der forensischen Analyse zufolge erhielt Kouloglou dreimal Apples Bedrohungsbenachrichtigung wegen gezielter Söldner-Spyware-Angriffe
-
- März 2023
-
- August 2023
-
- April 2024
-
- Bedrohungsbenachrichtigungen von Apple und anderen Unternehmen sind keine Echtzeitwarnungen; sie werden in der Regel häufig gebündelt und erst Monate oder länger nach der Zielerfassung versendet
- Kouloglou gab an, sich nicht daran zu erinnern, die beobachteten Apple-Benachrichtigungen erhalten zu haben
- Auch Personen, die mehrfach Bedrohungsbenachrichtigungen erhalten haben, können sie tatsächlich übersehen
Zeitpunkt der ersten Infektion: Überschneidung mit Berichtsentwurf, Anhörungen und Vorbereitung von Länderbesuchen
- Der erste Infektionstag, der 21. Oktober 2022, fiel in eine Phase besonders intensiver Beratungen und Untersuchungen des PEGA-Ausschusses
- Unmittelbar nach der Infektion waren folgende Anhörungen angesetzt
- „Big Tech and Spyware“ — 26. Oktober 2022
- „Spyware and e-privacy“ — 26. Oktober 2022
- Anhörung zu Spyware und Grundrechten — 27. Oktober 2022
- Der Ausschuss bereitete zudem die Veröffentlichung seines ersten Berichtsentwurfs vor; der Entwurf wurde unter den Ausschussmitgliedern und ihren Mitarbeitern diskutiert und zirkulierte
- Kouloglou bestätigte, dass der erste Infektionstag mit einer Phase intensiver Diskussionen und Austausche vor allem per Textnachrichten und E-Mail zusammenfiel
- Den ersten Berichtsentwurf des PEGA-Ausschusses veröffentlichte die Abgeordnete Sophie in ’t Veld am 8. November 2022
- Der Entwurf behandelte Spyware-Vorwürfe in Polen, Ungarn, Griechenland, Zypern und Spanien
- Der PEGA-Ausschuss bereitete außerdem einen Besuch in Griechenland und Zypern vom 1. bis 4. November 2022 vor; Kouloglou war an Planung und Besuch beteiligt
- Das Gerät wurde 10 Tage vor Beginn dieses Besuchs gehackt, während bereits Kommunikation zum Besuch stattfand
Infektion im Krankenhaus und mögliche Offenlegung medizinischer Informationen
- Am Tag der Infektion, dem 21. Oktober 2022, befand sich Kouloglou wegen einer elektiven Operation in einem griechischen Krankenhaus
- Der griechische Investigativjournalist Thanasis Koukakis besuchte ihn im Krankenzimmer
- Koukakis hatte intensiv über das Thema Söldner-Spyware in Griechenland berichtet
- Im Vormonat hatte er vor dem PEGA-Ausschuss ausgesagt
- Im März 2022 bestätigte Citizen Lab, dass Koukakis Ziel der Predator-Spyware von Intellexa gewesen war
- Da die Infektion während des Krankenhausaufenthalts stattfand, könnten gesundheitsbezogene Informationen wie Gespräche im Krankenzimmer oder mit medizinischem Personal sowie Termine, Untersuchungsergebnisse und Diagnosen vom Gerät abgefangen worden sein
- Nach griechischem Recht sind Gesundheitsdaten als besondere Kategorie personenbezogener Daten besonders geschützt; der Hack könnte im Zusammenhang mit dem Schutz der Vertraulichkeit medizinischer Informationen nach Law 4624/2019 im griechischen Strafrecht stehen
Zeitpunkt der zweiten Infektion: Überschneidung mit Diskussionen zum Abschlussbericht
- Die zweite Infektion erfolgte am 6.–7. März 2023
- Kouloglou zufolge führte der PEGA-Ausschuss zu dieser Zeit intensive Diskussionen im Zusammenhang mit der Erstellung des finalen Entwurfs
- Kouloglou reiste am 6. März 2023 von Athen nach Brüssel und befand sich während des Infektionszeitraums vom 6. bis 7. März in Brüssel
- Zur selben Zeit befand sich die PEGA-Berichterstatterin Sophie in ’t Veld im Rahmen einer Mission des LIBE-Ausschusses in Griechenland
- Der LIBE-Ausschuss ist ein ständiger Ausschuss des Europäischen Parlaments, der für Gesetzgebung und demokratische Kontrolle in den Bereichen Menschenrechte, Datenschutz, Asyl, Migration und Nichtdiskriminierung zuständig ist
- Im Rahmen dieser Mission befragte die LIBE-Delegation den Leiter und Vertreter der griechischen National Transparency Authority zum griechischen Spyware-Skandal
- Auch nach der zweiten Infektion folgten weitere PEGA-Anhörungen und ein Untersuchungsbesuch in Spanien; Kouloglou nahm jedoch nicht am Spanienbesuch teil
- Diese Infektion erfolgte rund zwei Monate vor der Annahme des ersten Berichts des PEGA-Ausschusses am 8. Mai 2023
- Kouloglou und Thanasis Koukakis planten um den 6.–7. März 2023 vorläufig ein Treffen über WhatsApp, es kam jedoch nicht zu einem persönlichen Treffen
Spyware-Fälle gegen Mitglieder des Europäischen Parlaments
- Kouloglou ist das erste öffentlich bestätigte Ausschussmitglied, das während seiner Tätigkeit im PEGA-Ausschuss Opfer von Pegasus wurde
- Schon vor Einrichtung des PEGA-Ausschusses gab es öffentliche Fälle, in denen Mitglieder des Europäischen Parlaments ins Visier genommen wurden
- Das Gerät der katalanischen Europaabgeordneten Diana Riba wurde im Oktober 2019 infiziert
- Der katalanische Europaabgeordnete Jordi Solé wurde im Juni 2020 ins Visier genommen, kurz bevor er sein Mandat im Europäischen Parlament antrat
- Clara Ponsati und Carles Puigdemont wurden über Mitarbeiter oder Familienmitglieder ins Visier genommen
- Riba, Solé und Puigdemont beteiligten sich später am PEGA-Ausschuss und sagten dort zu ihren Erfahrungen aus
- Auch außerhalb des PEGA-Ausschusses setzten sich Fälle gegen das Europäische Parlament fort
- Im Februar 2024 berichtete Politico, dass Mitglieder des Unterausschusses für Sicherheit und Verteidigung nach dem Fund von Spyware-Spuren auf zwei Geräten aufgefordert wurden, ihre Telefone überprüfen zu lassen
- Die französische Europaabgeordnete Nathalie Loiseau bestätigte, Ziel von Pegasus gewesen zu sein
- Die IT Services des Europäischen Parlaments informierten die bulgarische Europaabgeordnete Elena Yoncheva, dass ihr Gerät Ende Oktober 2023 ins Visier genommen worden sei
- Im Mai 2024 gab der deutsche Europaabgeordnete Daniel Freund bekannt, Ziel der Söldner-Spyware von Candiru geworden zu sein
Bewertung der Urheberschaft und verbleibende Grenzen
- Die Einschätzung, dass Kouloglous Gerät mit der Pegasus-Söldner-Spyware der NSO Group angegriffen und infiziert wurde, besitzt hohe Verlässlichkeit
- Es wird kein bestimmter Kunde der NSO Group als Urheber benannt
- Es gibt keine Hinweise darauf, dass die griechische Regierung Urheber dieses Hacks war
- Es gibt keine Berichte, wonach Griechenland Kunde der NSO Group oder Nutzer von Pegasus war
- Zwar soll die griechische Regierung die Predator-Söldner-Spyware von Intellexa breit missbraucht haben, doch es gibt keine technischen Indikatoren dafür, dass griechische Sicherheits- oder Nachrichtendienste Zugang zu Pegasus hatten
- Zwischen der Zielerfassung Kouloglous im Jahr 2022 und der Zielerfassung im gemeinsamen Bericht von Access Now vom Mai 2024 gibt es eine Verbindung
- Dieser Bericht behandelt sieben in Europa ansässige russisch- und belarussischsprachige unabhängige Journalisten und Oppositionsaktivisten, die mit Pegasus ins Visier genommen oder infiziert wurden
- Eine der in diesem Bericht anonymisierten Apple-IDs,
rauharepo888[@]gmail.com, ist identisch mit der HomeKit-E-Mail, die gegen Kouloglou verwendet wurde - Nach dem damaligen Verständnis der Pegasus-Infektionsinfrastruktur gelten solche E-Mails als eindeutig einem bestimmten Operator zugeordnet
- Ob die zweite Infektion 2023 mit demselben Operator oder mit einem anderen Operator verbunden war, lässt sich nicht feststellen
- Die Infektionen scheinen in mindestens zwei europäischen Jurisdiktionen stattgefunden zu haben: Griechenland und Belgien
- Nach bisherigem Wissen über NSO-Group-Lizenzen deutet dies auf einen Kunden hin, dessen Lizenz Infektionen in mehreren EU-Jurisdiktionen ermöglicht
Auswirkungen auf demokratische Verfahren und parlamentarische Vertraulichkeit
- Die Infektion des Geräts eines PEGA-Ausschussmitglieds bedeutet, dass während der Ausschussarbeit streng vertrauliche Kommunikation und sensible parlamentarische Verfahren offengelegt worden sein könnten
- Betroffen sein könnten Kommunikation zwischen Mitgliedern des PEGA-Ausschusses und ihren Mitarbeitern sowie sensible Verfahren im Zusammenhang mit den vom Ausschuss untersuchten Parteien
- Da der Gerätestatus anderer Mitglieder und Mitarbeiter des PEGA-Ausschusses unbekannt ist, lässt sich ohne umfassende Untersuchung nicht feststellen, ob es ähnliche Infektionen gab
- Dieser Fall zeigt die Bedrohung, die Söldner-Spyware für die Integrität demokratischer Verfahren darstellt
- Es ist nicht der erste Fall, in dem Geräte von Mitgliedern des Europäischen Parlaments mit Söldner-Spyware ins Visier genommen oder gehackt wurden; er verdeutlicht den zersetzenden Charakter unregulierter Söldner-Hacking-Dienste
Empfehlungen
- EU-Institutionen sollten unverzüglich eine Untersuchung einleiten, um Umfang und Ausmaß der Verletzung von EU-Daten und Verfahren festzustellen
-
Europaabgeordnete und Mitarbeiter
- Europaabgeordnete und Mitarbeiter, die am PEGA-Ausschuss beteiligt waren, sollten sich umgehend einer forensischen Untersuchung auf Spyware-Infektionen unterziehen und beruflich wie privat genutzte Geräte sichern, die ins Visier genommen worden sein könnten
- Die Directorate-General for Information Technologies and Cybersecurity (DG ITEC) bietet Spyware-Überprüfungen an
- Warnungen vor staatlich unterstützten Angriffen sollten ernst genommen werden; bei Erhalt einer Warnung sollte rasch fachkundige Unterstützung eingeholt werden
- EU-Abgeordnete sollten auf dem iPhone den Lockdown Mode und auf Android Advanced Protection aktivieren
- Diese Modi erhöhen den Geräteschutz gegen Söldner-Spyware erheblich
- DG ITEC kann zusätzliche Cybersicherheitsleitlinien bereitstellen
-
Europäisches Parlament und EU-Institutionen
- Das Europäische Parlament sollte Spyware-Angriffe auf Europaabgeordnete und parlamentarische Verfahren unverzüglich untersuchen
- Da die Angriffe länger zurückliegen, ist eine schnelle Untersuchung nötig, um den Verlust forensischer Spuren zu verhindern
- Das Parlament sollte einen jährlichen Bericht zu Cyber- und Überwachungsbedrohungen gegen das Parlament und seine Mitglieder in Auftrag geben
- Der European Parliamentary Research Service oder eine andere Stelle könnte ihn erstellen
- DG ITEC sollte einen Plan entwickeln, um die Quote der Geräteprüfungen deutlich zu erhöhen, und jährliche Statistiken zur Zahl der geprüften Geräte und zur Erkennungsrate veröffentlichen
- DG ITEC sollte regelmäßig konkrete Leitlinien für Europaabgeordnete und Mitarbeiter zu Warnungen von Unternehmen wie Apple und Google vor staatlich unterstützten Angriffen verbreiten
- Die Europäische Kommission sollte eigene Untersuchungen und Prüfungen durchführen, um festzustellen, ob Kommissare und Mitarbeiter Ziel von Söldner-Spyware waren
- Die DG DIGIT der Kommission sollte neben regelmäßigen Prüfungen umfassende Fähigkeiten zur Spyware-Erkennung und -Reaktion aufbauen
-
PACE, nationale Parlamente und Technologieunternehmen
- Die Parliamentary Assembly of the Council of Europe (PACE) sollte angesichts früherer Ausschussarbeit zu Missbrauch von Söldner-Spyware in Europa untersuchen, ob ihre Mitglieder und Mitarbeiter ins Visier genommen wurden
- Die Directorate of Information Technology des Europarats sollte sich mit Partnerinstitutionen abstimmen und regelmäßig prüfen, ob es Anzeichen für die Zielerfassung von PACE-Mitgliedern und -Mitarbeitern durch Söldner-Spyware gibt
- Sicherheitsdienste und Aufsichtsgremien nationaler Parlamente sollten sich am Modell der Abgeordnetenprüfungen von DG ITEC orientieren, um Abgeordnete zu schützen
- Technologieunternehmen sollten ihre Benachrichtigungsverfahren einschließlich UX-Forschung verbessern, damit Empfänger von Bedrohungswarnungen die Warnung tatsächlich sehen, verstehen und entsprechend handeln können
1 Kommentare
Hacker-News-Kommentare
Im Mai 2026 wandte sich Kouloglou an Citizen Lab; eine forensische Analyse der Spuren auf seinem iPhone ergab mit hoher Sicherheit, dass es um den 21. Oktober 2022 sowie am 6./7. März 2023 erfolgreich mit der Pegasus-Spyware infiziert wurde.
Kouloglou sagte, er erinnere sich nicht daran, die von Citizen Lab bestätigte Apple-Benachrichtigung erhalten zu haben; ich frage mich, ob man das so verstehen soll, dass Apple ihn darauf hingewiesen hat, überwacht zu werden, er es aber ignoriert hat.
Dass Bedrohungsbenachrichtigungen von Apple und anderen Unternehmen nicht in Echtzeit erfolgen und normalerweise erst Monate oder länger nach einem gezielten Angriff gebündelt versendet werden, ist schockierend.
Wenn das bedeutet, dass Apple Bedrohungen erkennen kann, sie aber nicht entfernt oder blockiert und stattdessen monatelang still wartet, bevor Nutzer informiert werden, dann weiß ich nicht, was das anderes sein soll als Sicherheitstheater.
Interessant ist, dass die erste Infektion sich mit einer bekannten Pegasus-Kampagne überschneidet, die russisch- und belarussischsprachige Exiljournalisten und Aktivisten in Europa ins Visier nahm.
Die Frage ist, wer der Pegasus-Kunde ist, der „in mehreren europäischen Ländern zur Überwachung befugt“ ist.
In einem früheren Artikel [0] zu den erwähnten russischen Exilfällen heißt es, dass die Niederlande und Estland Pegasus außerhalb ihrer Grenzen eingesetzt haben, aber es könnte weitere Stellen mit solchen Lizenzen geben.
Wenn die Fälle der russischen Exilanten und Kouloglou durch dieselbe Angriffsmethode verbunden sind, wirkt ein Land wie Estland plausibler. Allerdings besteht immer auch die Möglichkeit, dass eine Behörde mit Pegasus-Zugriff mit einer nicht befugten Behörde kooperiert oder es stellvertretend für sie einsetzt.
[0] https://www.accessnow.org/publication/hacking-meduza-pegasus...
Ich vermute, es geht um Probleme bei Softwarearchitektur-Entscheidungen wie einem großen monolithischen Kernel, unnötigen Telemetrie- und Marketingdiensten, Legacy-APIs, unsicheren Sprachen wie C und zu wenig statischer Analyse.
Handys sollte man bereits wie verseuchtes Gebiet behandeln und nichts Wichtiges darauf ablegen.
Manche Staats- und Regierungschefs nutzen überhaupt keine Smartphones und sind dadurch vor elektronischer Spyware geschützt.
Manche Banken, Chats, Dating-Apps und Dienste wie Uber unterstützen nur Mobilgeräte.
Um diese Zeit herum wurden viele Handys griechischer Politiker mit Pegasus gehackt.
In Griechenland ist das ein noch nicht vollständig aufgeklärter Skandal, und alle Belege deuten darauf hin, dass es sich um eine vom Büro des Premierministers mit dem lokalen Geheimdienst koordinierte Operation handelte.
Deshalb halte ich es für schwierig, das als Angriff auf das Europäische Parlament zu bezeichnen.
https://notesfrompoland.com/2026/02/26/poland-charges-former...
Wenn man einen Hammer hat, sieht alles wie ein Nagel aus.
Interessant ist, dass angedeutet wird, dass über dasselbe Handy sowohl persönliche medizinische vertrauliche Informationen als auch geheime Regierungsdokumente abgeflossen sein könnten.
Gibt es im Europäischen Parlament keine Richtlinie zur Trennung von dienstlichen und privaten Geräten?
Wenn man bedenkt, wie oft Arbeitszeit und Privatzeit verschwimmen, ist das nachvollziehbar.
Die medizinischen Informationen befanden sich nicht auf dem Handy.
Auch Europaabgeordnete aus Katalonien wurden Ziel von Pegasus; an die Details erinnere ich mich nicht, aber da die Kunden damals ausschließlich Staaten waren, hat Spanien den Dienst wohl beauftragt.
Es ist nichts passiert.
Vermutlich wird man bald eilig ein Gesetz machen, das irgendjemanden zu irgendetwas zwingt, oder jemandem eine hohe Geldstrafe aufbrummen und die Sache schnell erledigen.
Irgendjemand muss Verantwortung übernehmen.
Könnte der Lockdown Mode von iOS das verhindern?
Allerdings wird das Smartphone dabei absichtlich zu einer Art ziemlich dummem Telefon degradiert, um die Angriffsfläche zu verkleinern.
Praktisch ist das vor allem dann, wenn man nur ein einfaches Gerät braucht, das SMS und normale Telefonate über das Mobilfunknetz ermöglicht und die Uhrzeit anzeigt.
Dem Kontext nach haben einige europäische Länder Spyware wie Pegasus so stark missbraucht, dass israelische Anbieter die Beziehungen abbrachen; der folgende italienische Fall ist einer davon.
Andere haben auch Griechenland und Polen erwähnt.
Es ist absurd, dass ein Mitglied des Europäischen Parlaments zum selben Überwachungsziel wurde wie unschuldige Journalisten, Aktivisten und vielleicht auch gewöhnliche Menschen.
Und das durch EU-Mitgliedstaaten, auf eine Weise, die direkt zur Entwicklung und Verbreitung von Malware israelischer Firmen beiträgt.
https://www.bbc.com/news/articles/cvgmzdjw24yo
Ich gehe davon aus, dass dieselben Leute das Produkt weiterhin über andere Unterhändler bekommen werden.