1 poin oleh GN⁺ 6 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • iPhone milik Stelios Kouloglou, mantan anggota Parlemen Eropa yang sebelumnya jurnalis investigasi Yunani, dipastikan berulang kali terinfeksi Pegasus selama masa aktivitas PEGA Committee
  • Waktu infeksi terjadi pada 21 Oktober 2022 dan 6–7 Maret 2023, bertepatan dengan periode banyaknya komunikasi nonpublik seperti dengar pendapat, draf laporan, dan persiapan kunjungan negara
  • Infeksi pertama dikaitkan dengan jejak proses Pegasus yang menggunakan data seluler tepat setelah kueri email HomeKit rauharepo888[@]gmail.com, dan dinilai sebagai eksploit zero-click PWNYOURHOME
  • Tidak ada pemerintah tertentu yang ditunjuk sebagai pihak di baliknya, dan tidak ada indikasi yang mengarah pada tanggung jawab pemerintah Yunani, tetapi email HomeKit yang sama juga ditemukan dalam kampanye Pegasus terhadap jurnalis dan aktivis media pengasingan berbahasa Rusia dan Belarus
  • Tanpa pemeriksaan menyeluruh terhadap perangkat anggota dan staf Parlemen Eropa, sulit mengetahui sejauh mana komunikasi rahasia PEGA Committee dan prosedur parlemen terekspos spyware bayaran

Infeksi Pegasus yang terkonfirmasi selama aktivitas PEGA Committee

  • Stelios Kouloglou adalah politisi Yunani berlatar belakang jurnalis investigasi yang masuk Parlemen Eropa pada 2015
  • Dari 24 Maret 2022 hingga 18 Juli 2023, ia menjabat sebagai anggota pengganti PEGA Committee Parlemen Eropa, yang menyelidiki penggunaan Pegasus dan spyware pengawasan serupa
  • PEGA Committee dibentuk pada 10 Maret 2022 setelah Pegasus Project pada 2021 dan pemberitaan terkait mengungkap bahwa pemerintah-pemerintah Eropa memata-matai jurnalis, aktivis, politisi, dan warga sipil
  • Mandat komite adalah menyelidiki cakupan penggunaan spyware yang melanggar hukum UE, dengan objek investigasi “Pegasus and equivalent surveillance spyware”

Hasil forensik iPhone

  • Pada Mei 2026, Kouloglou menghubungi Citizen Lab, dan analisis forensik atas artefak iPhone memastikan adanya infeksi Pegasus
  • Waktu infeksi yang terkonfirmasi dengan tingkat keyakinan tinggi adalah sekitar 21 Oktober 2022, serta 6–7 Maret 2023
  • Infeksi 21 Oktober 2022

    • Pada 10:16 terdapat kueri alamat email HomeKit rauharepo888[@]gmail.com, dan dua menit kemudian proses Pegasus menggunakan data seluler
    • Infeksi ini dinilai sebagai peretasan melalui eksploit zero-click PWNYOURHOME
    • PWNYOURHOME tampaknya bekerja dengan cara penyerang mengirim NSKeyedArchive yang dibuat khusus ke HomeKit, lalu konten berbahaya mencapai MessagesBlastDoorService
    • Apple memitigasi masalah terkait HomeKit di iOS 16.3.1, sementara masalah MessagesBlastDoorService dinilai telah diperbaiki lebih awal, kemungkinan di iOS 16.1
  • Infeksi 6–7 Maret 2023

    • Aktivitas Pegasus juga terkonfirmasi antara 6 Maret 2023 pukul 09:49 dan 7 Maret pukul 07:30, dan mungkin terkait dengan eksploit yang sama
    • Saat infeksi 2022 dan 2023, perangkat dinilai menjalankan iOS 15.5 (19F77)
    • Karena keterbatasan data forensik yang tersedia, kemungkinan adanya infeksi tambahan yang tidak tertangkap tidak dapat dikesampingkan

Peringatan ancaman Apple dan masalah kesadaran pengguna

  • Berdasarkan analisis forensik, Kouloglou menerima tiga kali peringatan ancaman dari Apple terkait penargetan spyware bayaran
    • 2 Maret 2023
    • 29 Agustus 2023
    • 10 April 2024
  • Peringatan ancaman dari Apple dan perusahaan lain bukanlah peringatan real-time, dan biasanya sering dikirim secara massal setelah berbulan-bulan atau lebih sejak penargetan
  • Kouloglou menyatakan tidak ingat menerima peringatan Apple yang teramati tersebut
  • Bahkan target yang menerima beberapa kali peringatan ancaman bisa saja tidak benar-benar menyadarinya

Waktu infeksi pertama: bertepatan dengan draf laporan, dengar pendapat, dan persiapan kunjungan negara

  • 21 Oktober 2022, tanggal infeksi pertama, bertepatan dengan periode ketika pembahasan dan investigasi PEGA Committee sangat aktif
  • Segera setelah infeksi, dengar pendapat berikut sudah dijadwalkan
    • “Big Tech and Spyware” — 26 Oktober 2022
    • “Spyware and e-privacy” — 26 Oktober 2022
    • Dengar pendapat terkait spyware dan hak-hak dasar — 27 Oktober 2022
  • Komite juga sedang menyiapkan rilis draf laporan pertama, dan draf tersebut sedang dibahas serta diedarkan di antara anggota dan staf pendamping
  • Kouloglou mengonfirmasi bahwa tanggal infeksi pertama bertepatan dengan periode diskusi dan pertukaran intensif yang berpusat pada pesan teks dan email
  • Draf laporan PEGA Committee pertama diumumkan oleh anggota parlemen Sophie in ’t Veld pada 8 November 2022
    • Draf tersebut membahas dugaan spyware di Polandia, Hungaria, Yunani, Siprus, dan Spanyol
  • PEGA Committee juga sedang menyiapkan kunjungan ke Yunani dan Siprus pada 1–4 November 2022, dan Kouloglou terlibat dalam perencanaan serta kunjungan tersebut
  • Perangkat diretas 10 hari sebelum kunjungan ini dimulai, ketika komunikasi terkait kunjungan sedang berlangsung

Infeksi di rumah sakit dan kemungkinan paparan informasi medis

  • Pada hari infeksi 21 Oktober 2022, Kouloglou sedang dirawat di rumah sakit Yunani untuk operasi elektif
  • Jurnalis investigasi Yunani Thanasis Koukakis mengunjunginya di kamar rumah sakit
    • Koukakis adalah sosok yang secara dekat meliput isu spyware bayaran di Yunani
    • Ia memberi kesaksian di PEGA Committee pada bulan sebelumnya
    • Pada Maret 2022, Citizen Lab memastikan bahwa Koukakis menjadi target spyware Predator milik Intellexa
  • Karena infeksi terjadi saat ia dirawat di rumah sakit, ada kemungkinan informasi terkait kesehatan seperti percakapan di kamar rumah sakit atau dengan staf medis, janji temu, hasil pemeriksaan, dan diagnosis disadap dari perangkat
  • Dalam hukum Yunani, data terkait kesehatan adalah kategori khusus data pribadi yang mendapat perlindungan lebih kuat, dan peretasan dapat terkait dengan perlindungan kerahasiaan informasi medis berdasarkan Law 4624/2019 dalam hukum pidana Yunani

Waktu infeksi kedua: bertepatan dengan pembahasan laporan final

  • Infeksi kedua terjadi pada 6–7 Maret 2023
  • Menurut Kouloglou, pada periode ini PEGA Committee sedang melakukan diskusi intensif terkait proses penyusunan draf final
  • Kouloglou berangkat dari Athena ke Brussel pada 6 Maret 2023, dan berada di Brussel selama periode infeksi, 6–7 Maret
  • Pada periode yang sama, rapporteur PEGA, anggota parlemen Sophie in ’t Veld, sedang berada di Yunani untuk misi LIBE Committee
    • LIBE Committee adalah komite tetap Parlemen Eropa yang menangani legislasi dan pengawasan demokratis terkait hak asasi manusia, perlindungan data, suaka, imigrasi, dan antidiskriminasi
    • Dalam misi tersebut, delegasi LIBE menanyai direktur dan pejabat National Transparency Authority Yunani tentang skandal spyware Yunani
  • Setelah infeksi kedua, dengar pendapat PEGA dan kunjungan investigasi ke Spanyol berlanjut, tetapi Kouloglou tidak ikut dalam kunjungan ke Spanyol
  • Infeksi ini terjadi sekitar dua bulan sebelum adopsi laporan PEGA Committee pertama pada 8 Mei 2023
  • Kouloglou dan Thanasis Koukakis secara tentatif merencanakan pertemuan lewat WhatsApp sekitar 6–7 Maret 2023, tetapi pertemuan tatap muka tidak terjadi

Kasus spyware terhadap anggota Parlemen Eropa

  • Kouloglou adalah anggota pertama yang secara publik dikonfirmasi sebagai korban Pegasus saat menjabat di PEGA Committee
  • Bahkan sebelum PEGA Committee dibentuk, sudah ada kasus publik yang menargetkan anggota Parlemen Eropa
    • Perangkat MEP Catalan Diana Riba terinfeksi pada Oktober 2019
    • MEP Catalan Jordi Solé menjadi target pada Juni 2020, tepat sebelum mengambil kursi di Parlemen Eropa
    • Clara Ponsati dan Carles Puigdemont menjadi target melalui staf pendamping atau keluarga
  • Riba, Solé, dan Puigdemont kemudian bergabung dengan PEGA Committee dan memberi kesaksian tentang pengalaman mereka di PEGA Committee
  • Di luar PEGA Committee, kasus yang menyasar Parlemen Eropa terus berlanjut
    • Pada Februari 2024, Politico melaporkan bahwa anggota subkomite keamanan dan pertahanan diminta memeriksakan ponsel setelah jejak spyware ditemukan pada dua perangkat
    • MEP Prancis Nathalie Loiseau memastikan bahwa dirinya menjadi target Pegasus
    • IT Services Parlemen Eropa memberi tahu MEP Bulgaria Elena Yoncheva bahwa perangkatnya menjadi target pada akhir Oktober 2023
    • Pada Mei 2024, MEP Jerman Daniel Freund mengumumkan bahwa ia menjadi target spyware bayaran Candiru

Penilaian pihak di balik serangan dan keterbatasan yang tersisa

  • Penilaian bahwa perangkat Kouloglou ditargetkan dan terinfeksi spyware bayaran Pegasus milik NSO Group memiliki tingkat keyakinan tinggi
  • Tidak ada pelanggan NSO Group tertentu yang ditunjuk sebagai pihak di balik serangan
  • Tidak ada indikasi bahwa pemerintah Yunani adalah pelaku peretasan ini
    • Tidak ada laporan bahwa Yunani adalah pelanggan NSO Group atau pengguna Pegasus
    • Pemerintah Yunani diketahui telah menyalahgunakan secara luas spyware bayaran Predator milik Intellexa, tetapi tidak ada indikator teknis bahwa badan keamanan dan intelijen Yunani memiliki akses ke Pegasus
  • Ada titik keterkaitan antara penargetan Kouloglou pada 2022 dan penargetan dalam laporan bersama Access Now pada Mei 2024
    • Laporan tersebut membahas tujuh jurnalis independen dan aktivis oposisi berbahasa Rusia dan Belarus yang berbasis di Eropa yang ditargetkan atau terinfeksi Pegasus
    • Salah satu Apple ID yang dianonimkan dalam laporan tersebut, rauharepo888[@]gmail.com, sama dengan email HomeKit yang digunakan untuk menargetkan Kouloglou
    • Berdasarkan pemahaman tentang infrastruktur infeksi Pegasus pada periode ini, email semacam itu dinilai unik untuk operator tertentu
  • Tidak dapat dipastikan apakah infeksi kedua pada 2023 terhubung dengan operator yang sama atau operator lain
  • Infeksi tampaknya terjadi setidaknya di dua yurisdiksi Eropa, yaitu Yunani dan Belgia
  • Berdasarkan pengetahuan yang ada tentang lisensi NSO Group, hal ini mengindikasikan kemungkinan pelanggan yang memiliki lisensi yang memungkinkan infeksi di beberapa yurisdiksi UE

Dampak terhadap proses demokratis dan kerahasiaan parlemen

  • Infeksi pada perangkat anggota PEGA Committee berarti komunikasi yang sangat rahasia dan prosedur parlemen yang sensitif selama aktivitas komite mungkin telah terekspos
  • Pihak yang berpotensi terekspos mencakup komunikasi antara anggota PEGA Committee dan staf pendamping, serta prosedur sensitif terkait pihak-pihak yang sedang diselidiki komite
  • Karena status perangkat anggota PEGA Committee dan staf pendamping lainnya tidak diketahui, tanpa pemeriksaan menyeluruh tidak ada cara untuk memastikan apakah ada infeksi serupa
  • Kasus ini menunjukkan ancaman yang ditimbulkan spyware bayaran terhadap integritas proses demokratis
  • Ini bukan pertama kalinya perangkat anggota Parlemen Eropa ditargetkan atau diretas oleh spyware bayaran, dan menunjukkan sifat korosif dari peretasan bayaran yang tidak diatur

Rekomendasi

  • Lembaga-lembaga UE harus segera memulai investigasi untuk memastikan cakupan dan skala pelanggaran terhadap data pribadi dan prosedur UE
  • MEP dan staf pendamping

    • MEP dan staf pendamping yang terlibat dalam PEGA Committee harus segera menjalani pemeriksaan forensik infeksi spyware dan menyimpan perangkat kerja maupun pribadi yang mungkin telah menjadi target
    • Directorate-General for Information Technologies and Cybersecurity (DG ITEC) menyediakan pemeriksaan spyware
    • Mereka harus memperhatikan peringatan serangan yang disponsori negara, dan jika menerima peringatan, segera mencari bantuan ahli
    • MEP UE harus mengaktifkan Lockdown Mode di iPhone dan Advanced Protection di Android
    • Mode ini secara signifikan meningkatkan perlindungan perangkat terhadap spyware bayaran
    • DG ITEC dapat memberikan panduan keamanan siber tambahan
  • Parlemen Eropa dan lembaga UE

    • Parlemen Eropa harus segera menyelidiki serangan spyware yang menargetkan MEP dan prosedur parlemen
    • Karena serangan sudah terjadi cukup lama, investigasi cepat diperlukan untuk mencegah hilangnya jejak forensik
    • Parlemen harus menugaskan laporan tahunan tentang ancaman siber dan pengawasan terhadap Parliament dan para anggotanya
    • European Parliamentary Research Service atau lembaga lain dapat menyusunnya
    • DG ITEC harus menyusun rencana untuk meningkatkan secara besar-besaran tingkat pemeriksaan perangkat, dan mempublikasikan statistik tahunan tentang jumlah perangkat yang diperiksa serta tingkat temuan
    • DG ITEC harus secara berkala mendistribusikan panduan konkret kepada MEP dan staf pendamping terkait peringatan serangan yang disponsori negara dari perusahaan seperti Apple dan Google
    • Komisi Eropa harus melakukan investigasi dan pemeriksaan internal untuk memastikan apakah komisioner dan staf menjadi target spyware bayaran
    • DG DIGIT milik Commission harus membangun kapasitas pemeriksaan dan respons spyware yang komprehensif, disertai pemeriksaan rutin
  • PACE, parlemen nasional, dan perusahaan teknologi

    • Parliamentary Assembly of the Council of Europe (PACE) harus menyelidiki apakah anggota dan stafnya menjadi target, dengan mempertimbangkan aktivitas komite sebelumnya terkait penyalahgunaan spyware bayaran di Eropa
    • Directorate of Information Technology milik Council harus berkonsultasi dengan lembaga sejawat dan secara rutin memeriksa tanda-tanda penargetan spyware bayaran terhadap anggota dan staf PACE
    • Layanan keamanan dan badan pengawas parlemen nasional harus melindungi anggota parlemen dengan merujuk pada model teknik pemeriksaan anggota parlemen milik DG ITEC
    • Perusahaan teknologi harus memperbaiki cara pemberitahuan peringatan, termasuk melalui riset UX, agar penerima peringatan ancaman benar-benar melihat, memahami, dan dapat mengambil tindakan

1 komentar

 
GN⁺ 6 jam lalu
Opini Hacker News
  • Pada Mei 2026, Kouloglou menghubungi Citizen Lab, dan setelah analisis forensik terhadap jejak dari iPhone miliknya, mereka menyatakan dengan tingkat keyakinan tinggi bahwa infeksi spyware Pegasus berhasil terjadi sekitar 21 Oktober 2022, serta pada 6–7 Maret 2023

    • Saya juga penasaran apakah kita bisa melakukan analisis forensik pada ponsel sendiri untuk memastikan apakah pernah dijadikan target oleh seseorang yang memiliki Pegasus
    • Poin utamanya tampaknya adalah penjelasan bahwa notifikasi ancaman Apple bukan real-time, melainkan biasanya dikirim secara massal beberapa bulan atau lebih setelah serangan tertarget terjadi
      Kouloglou mengatakan ia tidak ingat menerima notifikasi Apple yang dikonfirmasi oleh Citizen Lab; apakah ini boleh dipahami sebagai Apple sudah memberitahunya bahwa ia sedang diawasi tetapi ia mengabaikannya?
  • Mengejutkan bahwa notifikasi ancaman dari Apple dan perusahaan lain tidak real-time, dan biasanya dikirim dalam paket beberapa bulan atau lebih setelah serangan tertarget
    Kalau artinya Apple bisa mendeteksi ancaman tetapi tidak menghapus atau mencegahnya, lalu diam menunggu selama berbulan-bulan sebelum memberi tahu pengguna, saya tidak tahu itu apa kalau bukan teater keamanan

  • Menarik bahwa infeksi pertama beririsan dengan kampanye Pegasus sebelumnya yang menargetkan jurnalis dan aktivis pengasingan berbahasa Rusia dan Belarusia di Eropa
    Pertanyaannya adalah siapa pelanggan Pegasus yang memiliki “wewenang untuk melakukan pengawasan di beberapa negara Eropa”
    Artikel lama tentang kasus pengasingan Rusia yang disebutkan [0] mengatakan Belanda dan Estonia menggunakan Pegasus di luar perbatasan mereka, tetapi mungkin ada pihak lain yang memiliki lisensi seperti itu
    Jika kasus pengasingan Rusia dan kasus Kouloglou terhubung melalui metode serangan yang sama, negara seperti Estonia tampak lebih masuk akal. Namun selalu ada kemungkinan bahwa lembaga yang memiliki akses Pegasus bekerja sama dengan, atau menggunakannya atas nama, lembaga yang tidak berwenang
    [0] https://www.accessnow.org/publication/hacking-meduza-pegasus...

  • Saya rasa ini mungkin masalah pilihan arsitektur perangkat lunak seperti kernel monolitik yang besar, layanan telemetri dan pemasaran yang tidak perlu, API legacy, bahasa yang tidak aman seperti C, serta kurangnya analisis statis
    Ponsel harus diperlakukan seperti wilayah yang sudah terinfeksi dan jangan menyimpan hal penting di sana
    Sebagian pemimpin bahkan tidak memakai smartphone sama sekali sehingga terlindungi dari spyware elektronik

    • Memang sulit karena smartphone dipakai untuk autentikasi dua faktor, dan tidak semua layanan menyediakan antarmuka web
      Beberapa layanan seperti bank, chat, dating, dan Uber hanya mendukung mobile
  • Pada sekitar waktu itu, banyak ponsel politikus Yunani diretas dengan Pegasus
    Di Yunani, ini masih menjadi skandal yang belum sepenuhnya terselesaikan, dan semua bukti mengarah pada operasi yang dilakukan kantor perdana menteri berkoordinasi dengan badan intelijen setempat
    Jadi menurut saya sulit menyebut ini sebagai serangan terhadap Parlemen Eropa

  • Hal menariknya adalah ini mengisyaratkan bahwa informasi medis pribadi yang rahasia dan dokumen rahasia pemerintah mungkin sama-sama bocor melalui ponsel yang sama
    Apakah Parlemen Eropa tidak punya kebijakan pemisahan perangkat kerja dan perangkat pribadi?

    • Adanya kebijakan dan apa yang benar-benar terjadi di dunia nyata biasanya sangat berbeda
      Bisa dipahami, mengingat jam kerja dan waktu pribadi sering kali kabur batasnya
    • Sejauh yang saya pahami, kekhawatirannya adalah ia membawa ponsel kerja yang terinfeksi ke rumah sakit, dan ponsel itu mungkin merekam percakapan yang berisi informasi medis pribadi
      Informasi medisnya bukan tersimpan di dalam ponsel
  • Anggota Parlemen Eropa asal Catalunya juga menjadi target Pegasus, dan meski saya tidak ingat detailnya, saat itu pelanggannya hanya negara, jadi Spanyol yang menyewa layanan tersebut
    Tidak ada apa pun yang terjadi

  • Sepertinya sebentar lagi akan dibuat undang-undang kilat untuk memaksa sesuatu pada seseorang, atau seseorang akan dikenai denda besar agar urusan ini cepat selesai
    Seseorang harus bertanggung jawab

  • Bisakah Lockdown Mode di iOS mencegah ini?

    • Mungkin bisa, dan memang itulah tujuan Lockdown Mode
      Namun untuk mengurangi permukaan serangan, smartphone sengaja dibuat menjadi seperti ponsel yang sangat bodoh
      Kasus praktisnya adalah ketika yang dibutuhkan hanya perangkat sederhana untuk mengirim dan menerima SMS, melakukan panggilan lewat jaringan telepon biasa, dan melihat waktu
  • Dari konteksnya, beberapa negara Eropa terlalu banyak menyalahgunakan spyware seperti Pegasus sampai perusahaan Israel memutus hubungan, dan kasus Italia di bawah ini salah satunya
    Orang lain juga menyebut Yunani dan Polandia
    Lucu bahwa anggota Parlemen Eropa menjadi target pengawasan yang sama seperti jurnalis, aktivis, dan mungkin warga biasa yang tidak bersalah
    Itu pun dilakukan oleh negara-negara anggota UE, dengan cara yang ikut berkontribusi langsung pada pengembangan dan penyebaran malware oleh perusahaan Israel
    https://www.bbc.com/news/articles/cvgmzdjw24yo

    • Saya rasa memutus hubungan setelah opini publik memanas lebih mirip pengendalian kerusakan
      Saya menduga produk itu tetap akan disediakan kepada orang-orang yang sama melalui reseller bawahan lain