2022年10月21日上午10点16分,一个HomeKit邮箱地址被悄悄查询了一次。两分钟后,一个Pegasus进程开始用蜂窝数据联网。这十分钟,是公民实验室重建出的一次完整攻击脚本——零点击,不需要点任何链接,手机就被拿下了。中招的人叫Stelios Kouloglou,希腊调查记者,时任欧洲议会PEGA委员会候补委员,职责正是调查欧洲各国滥用Pegasus间谍软件的问题。
两次入侵,精准卡在委员会日程上
公民实验室对Kouloglou的iPhone做取证后确认,他的手机在2022年10月21日、2023年3月6至7日两次被Pegasus成功入侵,攻击链很可能用的是PWNYOURHOME零点击漏洞:先向HomeKit投递伪造数据包,再借Messages的BlastDoor服务落地。苹果直到iOS 16.3.1才修复HomeKit这一环。
两次入侵都不是随机撞上的时间点。第一次发生10天后,PEGA委员会就密集举行了多场听证会,同时正筹备11月初赴希腊、塞浦路斯的实地调查,首份委员会报告草案也在这期间流转讨论。入侵当天,Kouloglou正因手术住院,希腊记者Thanasis Koukakis——此前曾被Predator间谍软件盯上、并向PEGA作证——到病房探视,还留了张合影。第二次入侵,正撞上委员会最终报告的激烈起草期,几周后就是首份报告5月8日的表决通过,同期委员会牵头人Sophie in 't Veld恰好在希腊约谈相关官员。
警报响了,他没听见
苹果曾三次向Kouloglou发送国家级间谍软件威胁通知——2023年3月2日、8月29日,2024年4月10日。但他告诉公民实验室,自己完全不记得收到过这些提醒。苹果的通知机制本来就是批量延迟发送,不是实时警报,这起案子只是又添了一个真实注脚:警报按时发出,人却毫无察觉,防护形同虚设。
排除希腊,却指向另一位"合法客户"
公民实验室没有把入侵归到具体政府头上,而且明确排除希腊政府责任。但报告注意到,第一次入侵的手法,与此前一起针对欧洲境内俄语、白俄语流亡记者和活动人士的Pegasus攻击活动存在重叠,暗示幕后是同一个在多个欧洲国家拥有合法使用授权的NSO客户。这和希腊本土闹得沸沸扬扬的Predator间谍软件丑闻是两回事——不同厂商、不同案子,却共享同一套逻辑:欧洲各国政府买下的监控软件授权,原本就没打算只用来对付境外恐怖分子。
- 风险.如果间谍软件真截获了委员会内部讨论,PEGA已经发布的调查结论,可能本身就是在对手注视下写成的。
谁来监视监视者
谁来监视监视者?这次答案换成了监视者自己。
古罗马讽刺诗人尤维纳利斯两千年前留下这句诘问,套在这起案子上几乎是精准预言:被赋予监督权力的人,往往最先被同一套权力工具盯上。这不是欧洲议会第一次栽在Pegasus手上——加泰罗尼亚籍的四位议员早在PEGA成立前就已中招,后来陆续加入了这个委员会;2024年初,又有议员在安全防务分委会被查出手机异常。但Kouloglou是第一位在任职期间被确认感染的PEGA成员,而且入侵时间死死咬住听证会、访问、报告表决这几个最敏感的节点。这说明对方要的不是"知道议员是谁",而是想提前看到委员会正在写什么、准备说什么。
灯下黑,是这场丑闻最扎心的地方。一个负责给欧盟成员国间谍软件滥用定罪的委员会,自己的候补委员手机里,装着别人正在调查的那款软件。公民实验室不肯把话说满,只说"某个在多国有授权的客户"——这句克制措辞背后,是欧盟至今拿不出一套能追责跨境滥用的机制:买软件的国家不少,管软件的框架却几乎为零。PEGA的调查早已收尾,首份报告也已表决通过,但这道题,欧洲议会还没有真正开始回答。
