1 คะแนน โดย GN⁺ 6 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • พบว่า iPhone ของ Stelios Kouloglou อดีตสมาชิกรัฐสภายุโรปและอดีตนักข่าวสืบสวนชาวกรีก ติด Pegasus ซ้ำหลายครั้งในช่วงที่เขาทำงานกับ PEGA Committee
  • ช่วงเวลาการติดเชื้อคือวันที่ 21 ตุลาคม 2022 และ 6–7 มีนาคม 2023 ซึ่งทับซ้อนกับช่วงที่มี การสื่อสารลับ จำนวนมาก เช่น การพิจารณาในคณะกรรมการ ร่างรายงาน และการเตรียมเยือนประเทศต่าง ๆ
  • การติดเชื้อครั้งแรกเชื่อมโยงกับร่องรอยที่โปรเซส Pegasus ใช้ข้อมูลมือถือหลังจากมีการค้นหาอีเมล HomeKit rauharepo888[@]gmail.com ไม่นาน และถูกประเมินว่าเป็นเอ็กซ์พลอยต์แบบไม่ต้องคลิก PWNYOURHOME
  • ยังไม่มีการระบุว่ารัฐบาลใดอยู่เบื้องหลัง และไม่มีสัญญาณที่ชี้ถึงความรับผิดชอบของรัฐบาลกรีซ แต่อีเมล HomeKit เดียวกันนี้ยังพบในแคมเปญ Pegasus ที่มุ่งเป้าไปยังนักข่าวพลัดถิ่นและนักกิจกรรมที่ใช้ภาษารัสเซียและเบลารุส
  • หากไม่มีการตรวจสอบอุปกรณ์ของสมาชิกและเจ้าหน้าที่รัฐสภายุโรปอย่างครอบคลุม ก็ยากที่จะประเมินได้ว่าการสื่อสารลับและกระบวนการรัฐสภาของ PEGA Committee ถูกเปิดเผยต่อ สปายแวร์รับจ้าง มากเพียงใด

การติดเชื้อ Pegasus ที่ยืนยันได้ระหว่างการทำงานของ PEGA Committee

  • Stelios Kouloglou เป็นนักการเมืองชาวกรีก อดีตนักข่าวสืบสวน ซึ่งเข้าสู่รัฐสภายุโรปในปี 2015
  • ตั้งแต่วันที่ 24 มีนาคม 2022 ถึง 18 กรกฎาคม 2023 เขาทำหน้าที่เป็นสมาชิกสำรองของ PEGA Committee แห่งรัฐสภายุโรป ซึ่งสอบสวนการใช้ Pegasus และสปายแวร์เฝ้าระวังที่คล้ายกัน
  • PEGA Committee ถูกจัดตั้งขึ้นเมื่อวันที่ 10 มีนาคม 2022 หลังจาก Pegasus Project และรายงานข่าวที่เกี่ยวข้องในปี 2021 เปิดโปงว่ารัฐบาลยุโรปได้เฝ้าระวังนักข่าว นักกิจกรรม นักการเมือง และพลเมือง
  • ภารกิจของคณะกรรมการคือการสอบสวนขอบเขตการใช้สปายแวร์ที่ละเมิดกฎหมาย EU โดยมีขอบเขตสอบสวนคือ “Pegasus and equivalent surveillance spyware”

ผลการพิสูจน์หลักฐานบน iPhone

  • ในเดือนพฤษภาคม 2026 Kouloglou ติดต่อ Citizen Lab และการวิเคราะห์พิสูจน์หลักฐานอาร์ติแฟกต์ใน iPhone ยืนยันว่ามีการติด Pegasus
  • ช่วงเวลาการติดเชื้อที่ยืนยันได้ด้วยความเชื่อมั่นสูงคือ ราววันที่ 21 ตุลาคม 2022 และ วันที่ 6–7 มีนาคม 2023
  • การติดเชื้อวันที่ 21 ตุลาคม 2022

    • เวลา 10:16 มีการค้นหาที่อยู่อีเมล HomeKit rauharepo888[@]gmail.com และ 2 นาทีต่อมามีโปรเซส Pegasus ใช้ข้อมูลมือถือ
    • การติดเชื้อนี้ถูกประเมินว่าเป็นการแฮ็กผ่านเอ็กซ์พลอยต์แบบไม่ต้องคลิก PWNYOURHOME
    • PWNYOURHOME ดูเหมือนทำงานโดยผู้โจมตีส่ง NSKeyedArchive ที่สร้างขึ้นเป็นพิเศษไปยัง HomeKit จากนั้นคอนเทนต์อันตรายไปถึง MessagesBlastDoorService
    • Apple ได้บรรเทาปัญหาที่เกี่ยวข้องกับ HomeKit ใน iOS 16.3.1 และประเมินว่าปัญหา MessagesBlastDoorService ได้รับการแก้ไขไปก่อนหน้านั้น อาจเป็นใน iOS 16.1
  • การติดเชื้อวันที่ 6–7 มีนาคม 2023

    • พบกิจกรรม Pegasus ระหว่างวันที่ 6 มีนาคม 2023 เวลา 09:49 ถึงวันที่ 7 มีนาคม เวลา 07:30 และอาจเกี่ยวข้องกับเอ็กซ์พลอยต์เดียวกัน
    • ประเมินว่าในช่วงการติดเชื้อปี 2022 และ 2023 อุปกรณ์กำลังรัน iOS 15.5 (19F77)
    • เนื่องจากข้อจำกัดของข้อมูลพิสูจน์หลักฐานที่มีอยู่ จึงไม่อาจตัดความเป็นไปได้ของการติดเชื้อเพิ่มเติมที่ตรวจไม่พบ

การแจ้งเตือนภัยคุกคามจาก Apple และปัญหาการรับรู้ของผู้ใช้

  • จากการวิเคราะห์พิสูจน์หลักฐาน Kouloglou ได้รับการแจ้งเตือนภัยคุกคามจาก Apple ว่าถูกสปายแวร์รับจ้างมุ่งเป้าสามครั้ง
    • 2 มีนาคม 2023
    • 29 สิงหาคม 2023
    • 10 เมษายน 2024
  • การแจ้งเตือนภัยคุกคามของ Apple และบริษัทอื่นไม่ใช่การแจ้งเตือนแบบเรียลไทม์ และโดยทั่วไปมัก ส่งเป็นชุด หลังจากการมุ่งเป้าผ่านไปหลายเดือนหรือมากกว่านั้น
  • Kouloglou ระบุว่าเขาจำไม่ได้ว่าได้รับการแจ้งเตือนจาก Apple ที่ตรวจพบเหล่านี้
  • แม้ผู้ถูกมุ่งเป้าจะได้รับการแจ้งเตือนภัยคุกคามหลายครั้ง ก็อาจไม่ทันสังเกตเห็นจริง ๆ

ช่วงเวลาการติดเชื้อครั้งแรก: ทับซ้อนกับร่างรายงาน การพิจารณา และการเตรียมเยือนประเทศ

  • วันที่ติดเชื้อครั้งแรกคือ 21 ตุลาคม 2022 ตรงกับช่วงที่การพิจารณาและการสอบสวนของ PEGA Committee คึกคักเป็นพิเศษ
  • หลังจากการติดเชื้อไม่นาน มีการกำหนดการพิจารณาต่อไปนี้
    • “Big Tech and Spyware” — 26 ตุลาคม 2022
    • “Spyware and e-privacy” — 26 ตุลาคม 2022
    • การพิจารณาเกี่ยวกับสปายแวร์และสิทธิขั้นพื้นฐาน — 27 ตุลาคม 2022
  • คณะกรรมการยังอยู่ระหว่างเตรียมเผยแพร่ร่างรายงานฉบับแรก และร่างดังกล่าวกำลังถูกหารือและเวียนกันอ่านระหว่างสมาชิกกับผู้ช่วย
  • Kouloglou ยืนยันว่าวันที่ติดเชื้อครั้งแรกทับซ้อนกับช่วงของ การหารือและแลกเปลี่ยนอย่างเข้มข้น ผ่านข้อความและอีเมล
  • ร่างรายงาน PEGA Committee ฉบับแรก เผยแพร่โดยสมาชิกรัฐสภา Sophie in ’t Veld เมื่อวันที่ 8 พฤศจิกายน 2022
    • ร่างรายงานครอบคลุมข้อกล่าวหาเรื่องสปายแวร์ในโปแลนด์ ฮังการี กรีซ ไซปรัส และสเปน
  • PEGA Committee ยังอยู่ระหว่างเตรียมการเยือนกรีซและไซปรัสในวันที่ 1–4 พฤศจิกายน 2022 และ Kouloglou มีส่วนร่วมในการวางแผนและการเยือน
  • อุปกรณ์ถูกแฮ็ก 10 วันก่อนเริ่มการเยือนครั้งนี้ ขณะที่มีการสื่อสารเกี่ยวกับการเยือนอยู่

การติดเชื้อในโรงพยาบาลและความเป็นไปได้ที่ข้อมูลทางการแพทย์จะรั่วไหล

  • ในวันที่ติดเชื้อ 21 ตุลาคม 2022 Kouloglou กำลังนอนโรงพยาบาลในกรีซเพื่อเข้ารับการผ่าตัดแบบไม่เร่งด่วน
  • Thanasis Koukakis นักข่าวสืบสวนชาวกรีก ไปเยี่ยมห้องพักผู้ป่วย
    • Koukakis เป็นผู้ที่ติดตามประเด็นสปายแวร์รับจ้างในกรีซอย่างใกล้ชิด
    • เขาให้การต่อ PEGA Committee เมื่อเดือนก่อนหน้า
    • ในเดือนมีนาคม 2022 Citizen Lab ยืนยันว่า Koukakis เคยถูกสปายแวร์ Predator ของ Intellexa มุ่งเป้า
  • เนื่องจากการติดเชื้อเกิดขึ้นระหว่างพักรักษาตัวในโรงพยาบาล จึงเป็นไปได้ว่า ข้อมูลเกี่ยวกับสุขภาพ เช่น การสนทนาในห้องผู้ป่วยหรือกับบุคลากรทางการแพทย์ การนัดหมาย ผลตรวจ และการวินิจฉัย อาจถูกดักจากอุปกรณ์
  • ตามกฎหมายกรีซ ข้อมูลเกี่ยวกับสุขภาพเป็นข้อมูลส่วนบุคคลประเภทพิเศษที่ได้รับการคุ้มครองเข้มงวด และการแฮ็กอาจเกี่ยวข้องกับการคุ้มครองความลับของข้อมูลทางการแพทย์ภายใต้ Law 4624/2019 ในประมวลกฎหมายอาญากรีซ

ช่วงเวลาการติดเชื้อครั้งที่สอง: ทับซ้อนกับการหารือรายงานฉบับสุดท้าย

  • การติดเชื้อครั้งที่สองเกิดขึ้นในวันที่ 6–7 มีนาคม 2023
  • ตามคำกล่าวของ Kouloglou ช่วงเวลานี้ PEGA Committee กำลังหารืออย่างเข้มข้นเกี่ยวกับกระบวนการจัดทำร่างฉบับสุดท้าย
  • Kouloglou เดินทางจากเอเธนส์ไปบรัสเซลส์ในวันที่ 6 มีนาคม 2023 และอยู่ที่บรัสเซลส์ระหว่างช่วงติดเชื้อ 6–7 มีนาคม
  • ในช่วงเดียวกัน Sophie in ’t Veld ซึ่งเป็น rapporteur ของ PEGA อยู่ที่กรีซในภารกิจของ LIBE Committee
    • LIBE Committee เป็นคณะกรรมาธิการประจำของรัฐสภายุโรปที่รับผิดชอบด้านสิทธิมนุษยชน การคุ้มครองข้อมูล การลี้ภัย การย้ายถิ่นฐาน กฎหมายต่อต้านการเลือกปฏิบัติ และการกำกับดูแลเชิงประชาธิปไตย
    • ในภารกิจดังกล่าว คณะผู้แทน LIBE ได้สอบถามผู้อำนวยการและเจ้าหน้าที่ของ National Transparency Authority ของกรีซเกี่ยวกับเรื่องอื้อฉาวสปายแวร์ในกรีซ
  • หลังการติดเชื้อครั้งที่สอง ยังมีการพิจารณาของ PEGA และการเยือนเพื่อสอบสวนในสเปนต่อเนื่อง แต่ Kouloglou ไม่ได้เข้าร่วมการเยือนสเปน
  • การติดเชื้อนี้เกิดขึ้นราวสองเดือนก่อนการรับรองรายงาน PEGA Committee ฉบับแรกเมื่อวันที่ 8 พฤษภาคม 2023
  • Kouloglou และ Thanasis Koukakis วางแผนเบื้องต้นผ่าน WhatsApp ว่าจะพบกันราววันที่ 6–7 มีนาคม 2023 แต่ไม่ได้พบกันจริง

กรณีสปายแวร์ที่มุ่งเป้าสมาชิกรัฐสภายุโรป

  • Kouloglou เป็นสมาชิกคนแรกของ PEGA Committee ที่ได้รับการยืนยันต่อสาธารณะว่าเป็นเหยื่อ Pegasus ระหว่างดำรงตำแหน่งในคณะกรรมการ
  • ก่อนการจัดตั้ง PEGA Committee ก็มีกรณีที่เปิดเผยต่อสาธารณะเกี่ยวกับการมุ่งเป้าสมาชิกรัฐสภายุโรป
    • อุปกรณ์ของ Diana Riba MEP ชาวคาตาลัน ติดเชื้อในเดือนตุลาคม 2019
    • Jordi Solé MEP ชาวคาตาลัน ถูกมุ่งเป้าในเดือนมิถุนายน 2020 ก่อนเข้ารับตำแหน่งในรัฐสภายุโรปไม่นาน
    • Clara Ponsati และ Carles Puigdemont ถูกมุ่งเป้าผ่านผู้ช่วยหรือสมาชิกครอบครัว
  • ต่อมา Riba, Solé และ Puigdemont เข้าร่วม PEGA Committee และให้การเกี่ยวกับประสบการณ์ของตนต่อคณะกรรมการ
  • นอกเหนือจาก PEGA Committee ก็ยังมีกรณีที่มุ่งเป้ารัฐสภายุโรปต่อเนื่อง
    • ในเดือนกุมภาพันธ์ 2024 Politico รายงานว่าสมาชิกคณะอนุกรรมการด้านความมั่นคงและกลาโหมถูกขอให้ส่งโทรศัพท์เข้าตรวจ หลังพบร่องรอยสปายแวร์ในอุปกรณ์สองเครื่อง
    • Nathalie Loiseau MEP ชาวฝรั่งเศส ยืนยันว่าเธอเคยเป็นเป้าหมายของ Pegasus
    • IT Services ของรัฐสภายุโรปแจ้ง Elena Yoncheva MEP ชาวบัลแกเรียว่าอุปกรณ์ของเธอถูกมุ่งเป้าเมื่อปลายเดือนตุลาคม 2023
    • ในเดือนพฤษภาคม 2024 Daniel Freund MEP ชาวเยอรมัน ประกาศว่าเขาถูกสปายแวร์รับจ้างของ Candiru มุ่งเป้า

การประเมินผู้อยู่เบื้องหลังและข้อจำกัดที่ยังเหลือ

  • การประเมินว่าอุปกรณ์ของ Kouloglou ถูกมุ่งเป้าและติด สปายแวร์รับจ้าง Pegasus ของ NSO Group มีความเชื่อมั่นสูง
  • ยังไม่มีการระบุว่าลูกค้ารายใดของ NSO Group อยู่เบื้องหลัง
  • ไม่มีสัญญาณว่ารัฐบาลกรีซเป็นผู้ลงมือแฮ็กนี้
    • ไม่มีรายงานว่ากรีซเป็นลูกค้า NSO Group หรือเป็นผู้ใช้ Pegasus
    • เป็นที่ทราบว่ารัฐบาลกรีซใช้สปายแวร์รับจ้าง Predator ของ Intellexa ในทางที่ผิดอย่างกว้างขวาง แต่ไม่มีตัวบ่งชี้ทางเทคนิคว่าหน่วยงานความมั่นคงหรือข่าวกรองของกรีซมีสิทธิ์เข้าถึง Pegasus
  • มีจุดเชื่อมโยงระหว่างการมุ่งเป้า Kouloglou ในปี 2022 กับการมุ่งเป้าในรายงานร่วมของ Access Now เดือนพฤษภาคม 2024
    • รายงานดังกล่าวระบุว่านักข่าวอิสระและนักกิจกรรมฝ่ายค้านที่ใช้ภาษารัสเซียและเบลารุสในยุโรป 7 คน ถูกมุ่งเป้าหรือติดเชื้อ Pegasus
    • rauharepo888[@]gmail.com ซึ่งเป็นหนึ่งใน Apple ID ที่ถูกทำให้ไม่ระบุตัวตนในรายงานนั้น ตรงกับอีเมล HomeKit ที่ใช้มุ่งเป้า Kouloglou
    • จากความเข้าใจเกี่ยวกับโครงสร้างพื้นฐานการติดเชื้อ Pegasus ในช่วงเวลานี้ อีเมลลักษณะนี้ถูกประเมินว่าเป็นเอกลักษณ์ของโอเปอเรเตอร์เฉพาะราย
  • ไม่สามารถยืนยันได้ว่าการติดเชื้อครั้งที่สองในปี 2023 เชื่อมโยงกับโอเปอเรเตอร์รายเดียวกันหรือเป็นโอเปอเรเตอร์รายอื่น
  • การติดเชื้อดูเหมือนเกิดขึ้นในอย่างน้อยสองเขตอำนาจศาลของยุโรป คือ กรีซและเบลเยียม
  • ตามความรู้เดิมเกี่ยวกับไลเซนส์ของ NSO Group เรื่องนี้ชี้ว่าลูกค้ารายนั้นอาจมีไลเซนส์ที่ทำให้เกิดการติดเชื้อได้ในหลายเขตอำนาจศาลของ EU

ผลกระทบต่อกระบวนการประชาธิปไตยและความลับของรัฐสภา

  • การติดเชื้อในอุปกรณ์ของสมาชิก PEGA Committee หมายความว่าการสื่อสารที่เป็นความลับอย่างยิ่งและกระบวนการรัฐสภาที่ละเอียดอ่อนระหว่างการทำงานของคณะกรรมการอาจถูกเปิดเผย
  • สิ่งที่อาจถูกเปิดเผยรวมถึงการสื่อสารระหว่างสมาชิก PEGA Committee กับผู้ช่วย และกระบวนการละเอียดอ่อนที่เกี่ยวข้องกับฝ่ายที่คณะกรรมการกำลังสอบสวน
  • เนื่องจากไม่ทราบสถานะอุปกรณ์ของสมาชิกและผู้ช่วย PEGA Committee คนอื่น ๆ หากไม่มีการตรวจสอบอย่างครอบคลุม ก็ไม่มีทางยืนยันได้ว่ามีการติดเชื้อคล้ายกันหรือไม่
  • กรณีนี้เผยให้เห็นภัยคุกคามที่สปายแวร์รับจ้างก่อขึ้นต่อ ความถูกต้องสมบูรณ์ของกระบวนการประชาธิปไตย
  • นี่ไม่ใช่ครั้งแรกที่อุปกรณ์ของสมาชิกรัฐสภายุโรปถูกสปายแวร์รับจ้างมุ่งเป้าหรือแฮ็ก และสะท้อนลักษณะกัดกร่อนของการแฮ็กรับจ้างที่ไร้การกำกับดูแล

ข้อเสนอแนะ

  • สถาบัน EU ควรเริ่มการสอบสวนทันทีเพื่อยืนยันขอบเขตและขนาดของการละเมิดข้อมูลส่วนบุคคลและกระบวนการของ EU
  • MEP และผู้ช่วย

    • MEP และผู้ช่วยที่มีส่วนร่วมใน PEGA Committee ควรเข้ารับ การตรวจพิสูจน์หลักฐานการติดสปายแวร์ ทันที และเก็บรักษาอุปกรณ์ทั้งที่ใช้ทำงานและส่วนตัวซึ่งอาจถูกมุ่งเป้าไว้
    • Directorate-General for Information Technologies and Cybersecurity (DG ITEC) ให้บริการตรวจสปายแวร์
    • ควรใส่ใจกับคำเตือนการโจมตีที่ได้รับการสนับสนุนจากรัฐ และหากได้รับคำเตือนควรขอความช่วยเหลือจากผู้เชี่ยวชาญอย่างรวดเร็ว
    • MEP ของ EU ควรเปิดใช้ Lockdown Mode บน iPhone และ Advanced Protection บน Android
    • โหมดเหล่านี้ช่วยยกระดับการป้องกันอุปกรณ์จากสปายแวร์รับจ้างอย่างมาก
    • DG ITEC สามารถให้คำแนะนำด้านไซเบอร์ซีเคียวริตี้เพิ่มเติมได้
  • รัฐสภายุโรปและสถาบัน EU

    • รัฐสภายุโรปควรสอบสวนการโจมตีด้วยสปายแวร์ที่มุ่งเป้า MEP และกระบวนการของรัฐสภาทันที
    • เนื่องจากเป็นการโจมตีที่ผ่านมานานแล้ว จึงจำเป็นต้องสอบสวนอย่างรวดเร็วเพื่อป้องกันการสูญเสียร่องรอยพิสูจน์หลักฐาน
    • รัฐสภาควรมอบหมายให้จัดทำ รายงานประจำปี ว่าด้วยภัยคุกคามทางไซเบอร์และการเฝ้าระวังต่อ Parliament และสมาชิกรัฐสภา
    • European Parliamentary Research Service หรือหน่วยงานอื่นสามารถเป็นผู้จัดทำได้
    • DG ITEC ควรจัดทำแผนเพิ่มอัตราการตรวจอุปกรณ์อย่างมีนัยสำคัญ และเปิดเผยสถิติประจำปีเกี่ยวกับจำนวนอุปกรณ์ที่ตรวจและอัตราการตรวจพบ
    • DG ITEC ควรเผยแพร่แนวทางเฉพาะให้ MEP และผู้ช่วยเป็นประจำเกี่ยวกับคำเตือนการโจมตีที่ได้รับการสนับสนุนจากรัฐจากบริษัทอย่าง Apple และ Google
    • คณะกรรมาธิการยุโรปควรทำการสอบสวนและตรวจสอบภายในเพื่อยืนยันว่ากรรมาธิการและพนักงานถูกสปายแวร์รับจ้างมุ่งเป้าหรือไม่
    • DG DIGIT ของ Commission ควรสร้างความสามารถในการตรวจและรับมือสปายแวร์อย่างครอบคลุม ควบคู่กับการตรวจเป็นประจำ
  • PACE รัฐสภาแต่ละประเทศ และบริษัทเทคโนโลยี

    • Parliamentary Assembly of the Council of Europe (PACE) ควรสอบสวนว่าสมาชิกและพนักงานถูกมุ่งเป้าหรือไม่ โดยพิจารณาจากกิจกรรมของคณะกรรมการในอดีตที่เกี่ยวข้องกับการใช้สปายแวร์รับจ้างในทางที่ผิดในยุโรป
    • Directorate of Information Technology ของ Council ควรปรึกษากับองค์กรคู่ขนาน และตรวจสอบสัญญาณการมุ่งเป้าด้วยสปายแวร์รับจ้างต่อสมาชิกและพนักงาน PACE เป็นประจำ
    • หน่วยงานความมั่นคงและองค์กรกำกับดูแลของรัฐสภาแต่ละประเทศควรอ้างอิงโมเดลเทคนิคการตรวจสมาชิกรัฐสภาของ DG ITEC เพื่อปกป้องสมาชิกรัฐสภา
    • บริษัทเทคโนโลยีควรปรับปรุงวิธีแจ้งเตือน รวมถึงทำวิจัย UX เพื่อให้ผู้รับการแจ้งเตือนภัยคุกคามสามารถเห็น เข้าใจ และดำเนินการตามคำเตือนได้จริง

1 ความคิดเห็น

 
GN⁺ 6 시간 전
ความเห็นจาก Hacker News
  • ในเดือนพฤษภาคม 2026 Kouloglou ได้ติดต่อ Citizen Lab และเมื่อทำ การวิเคราะห์นิติวิทยาศาสตร์ดิจิทัล จากร่องรอยที่พบใน iPhone ของเขา ก็ได้ข้อสรุปด้วยความมั่นใจสูงว่าการติด สปายแวร์ Pegasus สำเร็จเกิดขึ้นราววันที่ 21 ตุลาคม 2022 และอีกครั้งในช่วง 6–7 มีนาคม 2023

    • สงสัยว่าเราจะสามารถวิเคราะห์นิติวิทยาศาสตร์ดิจิทัลโทรศัพท์ของตัวเองเพื่อตรวจสอบได้ไหมว่าถูกใครบางคนที่มี Pegasus เล็งเป้าไว้หรือไม่
    • ดูเหมือนประเด็นสำคัญคือคำอธิบายที่ว่า Apple ไม่ได้ส่งการแจ้งเตือนภัยคุกคามแบบเรียลไทม์ แต่โดยปกติจะ ส่งเป็นชุด หลังจากการโจมตีแบบเจาะจงเป้าหมายเกิดขึ้นไปแล้วหลายเดือน
      Kouloglou บอกว่าเขาไม่จำได้ว่าเคยได้รับการแจ้งเตือนจาก Apple ที่ Citizen Lab ยืนยันแล้ว จึงสงสัยว่าควรเข้าใจว่านี่หมายถึง Apple เคยเตือนว่าเขากำลังถูกเฝ้าระวัง แต่เขาเพิกเฉยไปหรือไม่
  • น่าตกใจที่การแจ้งเตือนภัยคุกคามจาก Apple และบริษัทอื่น ๆ ไม่ได้เป็นแบบเรียลไทม์ และมักจะส่งรวมกันหลังการโจมตีแบบเจาะจงเป้าหมายผ่านไปหลายเดือน
    ถ้า Apple ตรวจพบภัยคุกคาม ได้ แต่ไม่ลบหรือป้องกันมัน และกลับเงียบรออยู่หลายเดือนก่อนจะแจ้งผู้ใช้ ก็ไม่รู้จะเรียกว่าอะไรนอกจาก ละครความปลอดภัย

  • สิ่งที่น่าสนใจคือการติดเชื้อครั้งแรกทับซ้อนกับแคมเปญ Pegasus ที่มีอยู่ก่อนแล้วซึ่งมุ่งเป้าไปที่นักข่าวและนักกิจกรรมผู้ลี้ภัยที่ใช้ภาษารัสเซียและเบลารุสในยุโรป
    คำถามคือใครคือผู้ใช้ Pegasus ที่มี “อำนาจในการสอดแนมในหลายประเทศยุโรป”
    ในบทความเก่า [0] เกี่ยวกับกรณีผู้ลี้ภัยรัสเซียที่ถูกกล่าวถึง ระบุว่าเนเธอร์แลนด์และเอสโตเนียใช้ Pegasus นอกพรมแดนของตนเอง แต่ก็อาจมีที่อื่นที่ถือไลเซนส์แบบนั้นด้วย
    หากกรณีผู้ลี้ภัยรัสเซียกับกรณีของ Kouloglou เชื่อมกันด้วยวิธีโจมตีแบบเดียวกัน ประเทศอย่างเอสโตเนียก็ดูมีความเป็นไปได้มากกว่า อย่างไรก็ตาม ก็เป็นไปได้เสมอว่าหน่วยงานที่มีสิทธิ์เข้าถึง Pegasus ร่วมมือกับหน่วยงานที่ไม่มีสิทธิ์ หรือใช้งานแทนให้
    [0] https://www.accessnow.org/publication/hacking-meduza-pegasus...

  • อาจเป็นปัญหาจาก การเลือกสถาปัตยกรรมซอฟต์แวร์ เช่น เคอร์เนลแบบโมโนลิธิก ขนาดใหญ่ บริการ telemetry/การตลาดระยะไกลที่ไม่จำเป็น API แบบ legacy ภาษาไม่ปลอดภัยอย่าง C และการวิเคราะห์แบบสแตติกที่ไม่เพียงพอ
    โทรศัพท์มือถือควรถูกมองว่าเป็นพื้นที่ติดเชื้อไปแล้ว และไม่ควรเก็บสิ่งสำคัญไว้ในนั้น
    ผู้นำบางคนไม่ใช้สมาร์ตโฟนเลย จึงได้รับการปกป้องจากสปายแวร์อิเล็กทรอนิกส์

    • แต่ก็ยาก เพราะสมาร์ตโฟนถูกใช้กับ การยืนยันตัวตนสองขั้นตอน และไม่ใช่ทุกบริการจะมีเว็บอินเทอร์เฟซ
      บางธนาคาร แชต แอปหาคู่ และบริการอย่าง Uber รองรับเฉพาะมือถือเท่านั้น
  • ช่วงนั้นโทรศัพท์ของนักการเมืองกรีกหลายคนถูกแฮ็กด้วย Pegasus
    ในกรีซ เรื่องนี้ยังเป็นคดีอื้อฉาวที่ไม่คลี่คลายทั้งหมด และหลักฐานทั้งหมดชี้ไปที่ปฏิบัติการที่สำนักงานนายกรัฐมนตรีประสานงานกับหน่วยข่าวกรองท้องถิ่น
    ดังนั้นจึงมองว่าน่าจะเรียกสิ่งนี้ว่าเป็นการโจมตียุโรปรัฐสภาได้ยาก

    • แก้ไขเล็กน้อย: นั่นคือ Predator/Intellexa ไม่ใช่ Pegasus/NSO ดังนั้นจึงเป็นอีกกรณีหนึ่ง
    • โปแลนด์ก็เรื่องเดียวกัน
      https://notesfrompoland.com/2026/02/26/poland-charges-former...
      ถ้ามีค้อนอยู่ในมือ ทุกอย่างก็ดูเหมือนตะปู
  • อีกจุดที่น่าสนใจคือมันสื่อว่าทั้ง ข้อมูลลับทางการแพทย์ส่วนบุคคล และ เอกสารลับของรัฐบาล อาจรั่วไหลผ่านโทรศัพท์เครื่องเดียวกัน
    รัฐสภายุโรปไม่มีนโยบายแยกอุปกรณ์งานกับอุปกรณ์ส่วนตัวหรือ?

    • การมีนโยบายอยู่กับสิ่งที่เกิดขึ้นจริงในทางปฏิบัติมักต่างกันมาก
      พอนึกถึงการที่เวลางานกับเวลาส่วนตัวมักพร่าเลือน ก็พอเข้าใจได้
    • เท่าที่เข้าใจ เขานำโทรศัพท์งานที่ติดเชื้อไปโรงพยาบาล และมีความกังวลว่าโทรศัพท์นั้นอาจบันทึกบทสนทนาที่มีข้อมูลทางการแพทย์ส่วนบุคคลไว้
      ไม่ได้หมายความว่าข้อมูลทางการแพทย์อยู่ในโทรศัพท์เอง
  • สมาชิกรัฐสภายุโรปจากกาตาลุญญาก็ตกเป็นเป้าของ Pegasus เช่นกัน และแม้จะจำรายละเอียดไม่ได้ แต่ตอนนั้นลูกค้ามีได้แค่รัฐเท่านั้น ดังนั้นก็เท่ากับว่าสเปนเป็นผู้ว่าจ้างบริการนี้
    สุดท้ายก็ไม่มีอะไรเกิดขึ้น

  • อีกไม่นานคงจะมีการออกกฎหมายแบบเร่งด่วนเพื่อบังคับอะไรบางอย่างกับใครสักคน หรือไม่ก็ปรับใครสักรายหนัก ๆ แล้วรีบปิดเรื่อง
    ต้องมีใครสักคนรับผิดชอบ

  • Lockdown Mode ของ iOS จะป้องกันสิ่งนี้ได้ไหม?

    • น่าจะได้ และนั่นก็เป็นจุดประสงค์ของ Lockdown Mode
      แต่เพื่อให้พื้นผิวการโจมตีลดลง สมาร์ตโฟนจะถูกทำให้กลายเป็นโทรศัพท์ทื่อ ๆ อย่างจงใจ
      จึงเหมาะในกรณีใช้งานที่ต้องการเพียงอุปกรณ์เรียบง่ายสำหรับรับส่งข้อความ โทรผ่านเครือข่ายโทรศัพท์ทั่วไป และดูเวลา
  • จากบริบท ดูเหมือนบางประเทศในยุโรป ใช้สปายแวร์อย่าง Pegasus มากเกินไป จนบริษัทอิสราเอลต้องตัดความสัมพันธ์ และกรณีของอิตาลีด้านล่างก็เป็นหนึ่งในนั้น
    คนอื่น ๆ ก็พูดถึงกรีซและโปแลนด์เช่นกัน
    น่าขันที่สมาชิกรัฐสภายุโรปกลับตกเป็นเป้าการสอดแนมแบบเดียวกับที่นักข่าว นักกิจกรรม หรือแม้แต่คนทั่วไปผู้บริสุทธิ์ต้องเผชิญ
    ทั้งที่การกระทำเหล่านี้มาจากประเทศสมาชิก EU เอง และเป็นการมีส่วนร่วมโดยตรงต่อการพัฒนาและแพร่กระจายมัลแวร์ของบริษัทอิสราเอล
    https://www.bbc.com/news/articles/cvgmzdjw24yo

    • มองว่าการตัดความสัมพันธ์หลังจากกระแสสาธารณะเดือดขึ้นนั้นใกล้เคียงกับ การควบคุมความเสียหาย มากกว่า
      คาดว่าผลิตภัณฑ์เดิมน่าจะยังถูกส่งต่อให้คนกลุ่มเดิมผ่านตัวแทนจำหน่ายย่อยรายอื่นอยู่ดี