研究结果表明,妥协发生在委员会工作的关键阶段,这可能导致机密审议和敏感政策讨论被曝光。
对 Kouloglou 的 iPhone 进行取证分析发现,该 iPhone 分别于 2022 年 10 月 21 日和 2023 年 3 月 6 日至 7 日成功感染了 Pegasus 病毒。研究人员将最初的入侵与“PWNYOURHOME”零点击漏洞利用链联系起来,该漏洞利用了 Apple 的 HomeKit 和 iMessage 基础设施。
日志显示,可疑的 HomeKit 查询与电子邮件地址 rauharepo888[@]gmail.com 相关,随后不久,移动数据上出现了 Pegasus 活动,这些都强烈表明设备遭到了静默且无人操作的入侵。感染时,该设备运行的是 iOS 15.5 系统。
此次攻击无需用户交互,凸显了现代雇佣间谍软件的复杂性。据报道,该攻击链利用了通过 HomeKit 传播的恶意 NSKeyedArchive 有效载荷,随后进一步利用了苹果 MessagesBlastDoorService 中的漏洞。苹果已在后续的 iOS 版本中修复了这些漏洞,但攻击发生在这些修复程序实施之前。
值得注意的是,此次感染的时间线与 PEGA 委员会的关键活动密切相关,包括间谍软件监管听证会、内部调查报告的起草以及跨境议会访问。
第一次泄露事件发生在重要的委员会听证会召开前几天,以及报告草案的编写期间,这表明攻击者可能旨在获取内部通信、文件和战略讨论。
2023年3月的第二次感染恰逢委员会报告的最后阶段密集审议,而库洛格鲁当时也在布鲁塞尔。研究人员警告说,这种接触可能使敌对势力能够实时监控立法程序。
其他证据表明,库洛格鲁在2023年至2024年间收到了多条苹果公司的威胁通知,警告其面临雇佣间谍软件活动。然而,据报道,受害者并未注意到这些警报,这凸显了威胁通知系统在可用性方面存在的问题。
虽然公民实验室高度确信飞马组织参与其中,但攻击的真正原因仍未确定。调查人员没有发现任何证据表明这些攻击与希腊政府有关。
相反,基础设施的重叠,特别是对 rauharepo888[@]gmail.com 这个标识符的重复使用,表明该 Pegasus 运营商此前曾与针对欧洲境内流亡的俄罗斯和白俄罗斯记者及活动人士的行动有关。这表明该客户拥有跨多个欧盟司法管辖区的运营授权。
夜雨聆风