Na szczycie Unii Europejskiej zawrzało. Wysoko postawieni pracownicy Komisji Europejskiej mieli na swoich telefonach zainstalowane oprogramowanie szpiegujące – to samo, które kupiły rządy Polski i Węgier.

Pegasus w Komisji Europejskiej

Komisja Europejska dowiedziała się o ataku w bardzo nietypowy sposób – od Apple. Producent iPhone'ów wysłał kilka tysięcy ostrzeżeń do klientów w listopadzie 2021 roku. Wśród odbiorców było przynajmniej 5 osób, pracujących w KE na wysokich stanowiskach. Atakujący mieliby wykorzystać exploit ForcedEntry, wykorzystujący lukę w aplikacji iMessage (komunikator i obsługa SMS-ów na iPhone'ach), produkowany przez izraelską firmę NSO. Kolejnym krokiem jest zwykle uruchomienie na telefonie programu szpiegującego. Jako że exploit pochodzi z oferty NSO, mamy prawo przypuszczać, że atakujący mają również Pegasusa w swoim arsenale.

Czy ataki się udały i jakie dany można było wydobyć? Tego nie wiemy. Specjaliści znaleźli ślady włamań na telefonach ofiar, pochodzące z okresu między lutym i wrześniem 2021, ale żadnych konkretów.

Informację o ataku podał Reuters, powołując się na kontakty w Komisji Europejskiej oraz dokumenty, w które mieli wgląd dziennikarze. Nie udało się ustalić, czy dochodzenie w tej sprawie wciąż trwa – wszystko odbywa się za zamkniętymi drzwiami.

Wiemy za to, że już 19 kwietnia ruszą prace komisji badającej wykorzystanie oprogramowania szpiegującego przez rządy krajów członkowskich. Poinformowała o tym holenderska posłanka Sophie in 't Veld, która kierowała utworzeniem komisji. Przy tym warto zaznaczyć, że praca tego zespołu jest zupełnie niepowiązana z atakiem na KE.

Nie wyciągajmy pochopnych wniosków

Przynajmniej dwa rządy krajów europejskich mają licencje na korzystanie z Pegasusa: Polska i Węgry. Mamy też powody, by przypuszczać, że izraelski spyware był w Polsce używany. Ofiarami ataków mieliby być między innymi politycy opozycji i osoby z nimi związane, a do infekowania telefonów wykorzystywane były bardzo trafnie dobrane SMS-y. To wszystko stawia Polskę w bardzo niekorzystnym świetle na arenie międzynarodowej.

Pragnę jednak przestrzec przed wyciąganiem pochopnych wniosków w sprawie szpiegowania Komisji Europejskiej. Wnioski specjalistów IT nie dają żadnych konkretnych wskazówek, a wszyscy zainteresowani głośno zaprzeczają, jakoby mieli coś wspólnego z atakiem. Przy tym Komisja Europejska jest atrakcyjnym celem dla wielu rządów i organizacji wywiadowczych, które mogły sięgnąć po oprogramowanie firmy NSO… lub konkurencyjne. Reuters wymienia firmę QuaDream o podobnym do NSO profilu działalności jako potencjalnego dostawcę oprogramowania szpiegującego. Aktualnie nie da się wykluczyć, że szpiedzy wykorzystali inny produkt, o ile w ogóle doszło do poważniejszego naruszenia bezpieczeństwa.

