
Un nuevo informe de Citizen Lab revela que el dispositivo móvil del ex miembro del Parlamento Europeo Stelios Kouroglou fue pirateado repetidamente con el famoso software espía Pegasus mientras formaba parte de un comité encargado de investigar el uso indebido de herramientas de vigilancia comerciales en la región.
«El análisis forense de su dispositivo revela que los atacantes pueden haber tenido acceso a documentos clasificados y deliberaciones del comité», dijeron los investigadores del Citizen Lab John Scott Railton, Bill Marczak, Baal Abdul Razak, Kate Pandik, Sienna Anstice y Ron Deibert.
Hasta el momento, la infección no se ha atribuido a ningún gobierno en particular y no hay evidencia de que el gobierno griego esté detrás de esta actividad. Sin embargo, el instituto multidisciplinario de Canadá señaló que había identificado una superposición entre las infecciones iniciales y una campaña anterior dirigida a periodistas y activistas de habla rusa y bielorrusa que habían desertado a Europa.
Esto indica que los clientes de Pegasus con privilegios de espionaje en varios países europeos probablemente estén involucrados en este esfuerzo, añadió Citizen Lab.
El Sr. Couroglou se desempeñó como miembro de la Comisión de Investigación del Parlamento Europeo sobre el uso de Pegasus y software espía de vigilancia similar del 24 de marzo de 2022 al 18 de julio de 2023. El Comité PEGA se estableció el 10 de marzo de 2022 para investigar el presunto uso indebido de productos de software espía comerciales según la legislación de la UE, con especial atención en recopilar información sobre hasta qué punto los Estados miembros y otros países los están utilizando. Herramientas que violan los derechos y libertades de la comunidad.
Citizen Lab anunció que el análisis forense de los artefactos recopilados de su iPhone en mayo de 2026 reveló que fue comprometido por el software espía Pegasus el 21 de octubre de 2022 o alrededor de esa fecha, y nuevamente el 6 y 7 de marzo de 2023.
«El 21 de octubre de 2022 a las 10:16 a. m., se realizó una búsqueda de la dirección de correo electrónico de HomeKit rauharepo888(@)gmail.com. Dos minutos después, un proceso de Pegasus utilizó datos móviles», explicaron los investigadores. Se cree que se utilizó un exploit sin clic del software de hogar inteligente de Apple (con nombre en código PWNYOURHOME) para distribuir el software espía. Apple resolvió este problema en iOS 16.3.1.
Se dice que la actividad posterior de Pegasus observada en marzo de 2023 utilizó el mismo exploit como arma. En ambos momentos, el dispositivo de Kouloglou ejecutaba iOS 15.5. Un análisis más detallado del teléfono reveló que Couroglou recibió tres notificaciones de amenazas de Apple indicando que había sido atacado por software espía mercenario: el 2 de marzo de 2023, el 29 de agosto de 2023 y el 10 de abril de 2024.
Curiosamente, cuando el teléfono de Kroglow fue pirateado por primera vez, estaba en el hospital para una cirugía electiva y estaba siendo visitado por el periodista de investigación griego Thanassis Koukakis. Thanasis Koukakis testificó ante el comité PEGA hace un mes que su teléfono celular fue comprometido por el software espía Predator de Intellexa.
El momento del segundo brote en marzo de 2023 también es significativo, ya que coincidió con el intenso debate en torno al proceso del borrador final y la posterior serie de audiencias de PEGA. Este incidente ocurrió dos meses antes de que se adoptara el primer informe de la Comisión PEGA.
Este desarrollo marca la primera vez que un miembro del comité de PEGA ha sido identificado públicamente como víctima del software espía Pegasus mientras formaba parte del comité.
El vínculo entre el caso de Kuoglou y una campaña dirigida a periodistas independientes de habla rusa y bielorrusa y a activistas de la oposición radicados en Europa se basa en el uso de la misma dirección de correo electrónico: rauharepo888(@)gmail.com.
«Según nuestro conocimiento de la infraestructura infectada por Pegasus en este momento, creemos que estos correos electrónicos son exclusivos de ciertos operadores», dijo Citizen Lab. «No sabemos si la segunda infección en 2023 está relacionada de manera similar con este caso o con otro caso».
«Según lo que sabemos sobre las licencias del Grupo NSO, esto probablemente indica que el cliente tenía licencias que permitieron la infección en múltiples jurisdicciones de la UE, reduciendo la lista de operadores de Pegasus que pueden ser responsables de este asunto».
Los hallazgos plantean nuevas preocupaciones sobre cómo los gobiernos están utilizando software espía, aparentemente comercializado para combatir delitos graves como el terrorismo y el abuso sexual infantil, para espiar las comunicaciones de periodistas, legisladores, disidentes y críticos.
El acontecimiento se produce días después de que Citizen Lab revelara que, en junio de 2021, las autoridades rusas utilizaron la herramienta forense UFED de Cellebrite para piratear el iPhone del activista opositor detenido Andrei Pivovarov. Esto se produce tres meses después de que Cellebrite anunciara que dejaría de proporcionar herramientas y servicios a Rusia y Bielorrusia.
«Las autoridades buscaron en los dispositivos del señor Pivovarov organizaciones y contactos clave, así como figuras prominentes de la oposición», dijo Citizen Lab. «Las palabras clave de búsqueda incluyeron a Mikhail Khodorkovsky, quien fundó Rusia Abierta, Anastasiya Burakova, una abogada de derechos humanos de Rusia Abierta que ahora encabeza un destacado grupo contra la guerra, y Tatiana Usmanova, ex coordinadora de Rusia Abierta y socia del Sr. Pivovarov».
Algunas de estas personas, incluida Blakova, fueron posteriormente blanco de campañas de phishing organizadas por el grupo de hackers ruso conocido como COLDRIVER, lo que plantea la posibilidad de que el uso de las herramientas de Cellebrite facilitara el reconocimiento y permitiera seguir atacando y vigilando a otros opositores al régimen en el extranjero.
En abril, Citizen Lab también descubrió dos operaciones de espionaje diferentes de larga duración que explotaban debilidades conocidas en la infraestructura de comunicaciones global para rastrear la ubicación de las personas. En particular, estos ataques no requieren la introducción de malware, lo que los hace sigilosos y difíciles de detectar.
Una de las dos campañas funcionó enviando a los objetivos un tipo especial de mensaje de texto que contenía comandos SMS maliciosos ocultos con el propósito de «convertir el dispositivo en una baliza de seguimiento encubierta», según el informe. La segunda campaña aprovechó las debilidades de los protocolos de señalización del Sistema de Señalización No. 7 (SS7) y Diámetro para rastrear la ubicación de las personas sin requerir acceso a sus dispositivos.
Se dice que las dos campañas explotaron a tres proveedores de telecomunicaciones específicos: 019Mobile, Airtel Jersey (parte de Sure Group) y Tango Networks UK. Estos proveedores actúan como «puntos de entrada y tránsito de monitoreo dentro del ecosistema de comunicaciones», permitiendo que «el tráfico se mueva a través de interconexiones de señales confiables y al mismo tiempo permiten el acceso a los actores de amenazas que se esconden detrás de la infraestructura».
«Ambos atacantes utilizaron herramientas de monitoreo personalizadas para disfrazar las identidades de los operadores, manipular protocolos de señalización y dirigir el tráfico a través de rutas de red interconectadas específicas para evadir las defensas y ocultar la atribución», dijo la organización de derechos digitales.
«Los hallazgos revelan cómo los proveedores de vigilancia comercial (CSV) sospechosos están explotando el ecosistema global de interconexión de telecomunicaciones, aprovechando las redes de operadores privados y llevando a cabo operaciones encubiertas de seguimiento de ubicación que pueden continuar sin ser detectadas durante años».
Source link
