Специалисты обнаружили шпионскую программу Pegasus на iPhone Стелиоса Кулоглу — бывшего депутата Европарламента и журналиста-расследователя. В момент заражений он входил в специальный комитет PEGA, который изучал применение Pegasus и других коммерческих средств слежки в Европе.
Телефон успешно взломали как минимум трижды: около 21 октября 2022 года, а затем 6 и 7 марта 2023 года. Для атаки применялся эксплойт без участия пользователя PWNYOURHOME. Владельцу не требовалось открывать ссылку, запускать файл или отвечать на сообщение. Вредоносная цепочка задействовала системные компоненты HomeKit и iMessage.
Исследователи пока не установили заказчика атаки. Технических признаков, связывающих заражения с властями Греции, также не нашли. Один из идентификаторов оператора совпал с данными из другой кампании Pegasus, направленной против находившихся в Европе журналистов и активистов.
Кулоглу обратился в лабораторию Citizen Lab в мае 2026 года. Эксперты провели криминалистический анализ сохранившихся данных iPhone и с высокой степенью уверенности подтвердили успешную установку Pegasus.
Первое известное заражение произошло 21 октября 2022 года. В 10:16 смартфон обработал запрос, связанный с адресом электронной почты, который использовался оператором Pegasus через HomeKit. Через две минуты в журналах появилась сетевая активность процесса шпионской программы.
Второй период активности зафиксирован с 09:49 6 марта до 07:30 7 марта 2023 года. Во всех известных эпизодах на смартфоне, предположительно, работала iOS 15.5. Исследователи допускают, что заражений могло быть больше: Pegasus старается удалять следы, а доступные журналы устройства сохранили лишь часть событий.
Во время первого взлома полной защиты от PWNYOURHOME ещё не существовало. Apple выпустила iOS 16.1 через несколько дней после атаки — 24 октября 2022 года. Изменения в HomeKit, связанные с этой цепочкой, вошли в iOS 16.3.1 в феврале 2023 года. При повторном заражении в марте более новые версии системы уже были доступны, но исследованный iPhone оставался на iOS 15.5.
Название PWNYOURHOME дали цепочке специалисты Citizen Lab. Это двухэтапный эксплойт без участия пользователя, который атаковал разные процессы iPhone.
На первом этапе оператор отправлял специально подготовленный объект в HomeKit — платформу Apple для управления устройствами умного дома. Атака могла сработать, даже если владелец iPhone никогда не подключал умные лампы, замки или другие аксессуары.
Второй этап задействовал службу MessagesBlastDoorService. Она входит в защитный контур iMessage и должна изолированно обрабатывать потенциально опасные вложения. В обнаруженных атаках смартфон загружал подготовленные изображения, после чего происходили сбои системного процесса и запускалась следующая часть цепочки.
Apple изменила механизм обработки данных HomeKit в iOS 16.3.1. Система начала отказываться от декодирования сообщений, пришедших от неправдоподобного источника. Другую часть цепочки, связанную с обработчиком iMessage, компания, вероятно, закрыла раньше — примерно в iOS 16.1.
Точное описание всех использованных уязвимостей не публикуется. Эксперты намеренно скрывают часть технических деталей, поскольку некоторые элементы цепочки могут помочь разработчикам новых эксплойтов.
21 октября 2022 года Кулоглу находился в больнице после плановой операции. В тот же день его посетил греческий журналист Танасис Кукакис, который занимался расследованиями коммерческого шпионского ПО и ранее сам стал жертвой программы Predator.
Pegasus мог получить доступ к разговорам в палате, сообщениям, письмам, документам и медицинской информации, хранившейся на устройстве. Установить, какие именно сведения оператор успел извлечь, исследователи не смогли.
Дата заражения совпала с активной работой комитета PEGA. Его участники готовились к слушаниям о шпионских программах, обсуждали будущий доклад и планировали рабочие поездки в Грецию и на Кипр. Значительная часть общения проходила через электронную почту и мессенджеры.
Через десять дней после взлома началась поездка делегации. Первый проект доклада был представлен 8 ноября 2022 года. Оператор Pegasus теоретически мог получить закрытую переписку, рабочие материалы и сведения о планировавшихся встречах до их публикации.
Новая активность Pegasus появилась 6 и 7 марта 2023 года, когда Кулоглу летел из Афин в Брюссель. Комитет в этот период дорабатывал итоговый документ по результатам расследования.
Повторное заражение произошло примерно за два месяца до принятия доклада PEGA. В марте комитет проводил слушания по рынку шпионских программ, телекоммуникационным компаниям и созданию европейской лаборатории для исследования средств цифровой слежки.
Citizen Lab считает этот эпизод первым публично подтверждённым случаем, когда Pegasus успешно заразил телефон действующего участника комитета, созданного для расследования злоупотреблений Pegasus. Ранее коммерческое шпионское ПО уже находили на устройствах других европейских депутатов, сотрудников и связанных с ними людей.
Кулоглу был заместителем члена PEGA с 24 марта 2022 года по 18 июля 2023 года. Его депутатский срок завершился в июле 2024 года. Поэтому утверждение, что он представлял Грецию лишь до 2023 года, некорректно.
В данных устройства сохранились сведения о трёх уведомлениях Apple, предназначенных для пользователей, которых могли атаковать с помощью коммерческого шпионского ПО. Они были отправлены 2 марта и 29 августа 2023 года, а также 10 апреля 2024 года.
Кулоглу не помнит, чтобы видел эти предупреждения. Уведомления Apple также нельзя считать сигналами в реальном времени: компания часто рассылает их группами спустя недели или месяцы после обнаруженной активности.
Первое предупреждение пришло за четыре дня до повторного заражения. Достоверно неизвестно, открыл ли пользователь сообщение и какие рекомендации в нём содержались на тот момент.
Этот эпизод показывает слабое место системы уведомлений. Само предупреждение бесполезно, если получатель принимает его за фишинг, не понимает уровень опасности или не знает, куда передать устройство для проверки.
Во время октябрьской атаки через HomeKit использовался адрес rauharepo888@gmail.com. Тот же идентификатор ранее нашли в кампании против семи журналистов и активистов, живших за пределами своих стран.
Citizen Lab считает адреса такого типа привязанными к отдельным операторам Pegasus. Совпадение позволяет предположить, что за октябрьским заражением Кулоглу и частью предыдущих атак стоял один клиент NSO Group.
Связать мартовские заражения с тем же оператором пока не удалось. Шпионская программа проявляла активность на телефоне как минимум в Греции и Бельгии. Исследователи полагают, что клиент обладал лицензией, допускавшей работу в нескольких европейских юрисдикциях.
Доказательств участия конкретного ведомства или государства нет. Citizen Lab отдельно указала, что не обнаружила признаков причастности греческих властей и не располагает данными об использовании ими Pegasus. Известные греческие эпизоды слежки ранее связывались с другой платформой — Predator.
После успешной установки Pegasus превращает смартфон в скрытый инструмент наблюдения. Оператор может извлекать сообщения, электронную почту, файлы, контакты и сведения о местоположении, а также использовать микрофон и другие возможности устройства.
Для участника парламентского расследования ценность представляли рабочие чаты, черновики документов, списки встреч, имена источников и внутренние обсуждения. Часть этих материалов могла подпадать под правила конфиденциальности Европарламента.
Комитет PEGA создали в марте 2022 года после серии сообщений о применении коммерческого шпионского ПО против журналистов, чиновников, общественных деятелей и других владельцев смартфонов. Итоговый доклад был принят в мае 2023 года, рекомендации Европарламент утвердил 15 июня. В них предлагалось усилить независимый надзор, расследование заражений, экспортный контроль и технические возможности по поиску шпионских программ.
После публикации новой экспертизы группа цифровых и журналистских организаций потребовала проверить устройства остальных участников PEGA и установить заказчика атаки. Авторы обращения также призвали публично отчитаться о выполнении рекомендаций комитета.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.