De Pegasus-onderzoekers hebben Pegasus

9

Stelios Kouloglou kende het spel. Hij was lid van het Europees Parlement en maakte deel uit van de speciale taskforce van de EU die op jacht was naar spyware. In de zomer van 2022 reisde hij door het continent, waar hij zat met de slachtoffers van digitale surveillance, waarbij hij een schandaal losmaakte waarbij zowel journalisten, politiechefs als politici betrokken waren. Hij dacht dat hij het vergrootglas vasthield. Hij wist niet dat de lens weer op hem gericht was.

Toen kwamen de gegevens naar buiten. Zijn iPhone was gecompromitteerd. Door Pegasus. Hetzelfde instrument dat hij moest ontmaskeren.

“Het was echt iets te roekeloos”, zegt hij.

Het is een duistere grap. Een onderzoeker die is gehackt door de misdaad die hij onderzoekt. Kouloglou heeft zich hier jarenlang in verdiept voordat hij toetrad tot het parlement, dus hij was niet naïef over de bedreigingen. Nog steeds. De schok is anders als het uw eigen telefoon is die overgaat met malware. Nu is hij boos. Met recht.

Hier is de achtergrond die u waarschijnlijk kent, maar nog eens moet horen. Pegasus is niet zomaar een app die je per ongeluk downloadt. Het maakt gebruik van gaten in iOS en Android om voorbij de verdediging te glippen. Eenmaal binnen? De camera rolt. De microfoon blijft open. Berichten, foto’s, contactlijsten, alles gaat naar degene die ervoor heeft betaald. De spyware is ontwikkeld door NSO Group, een Israëlisch bedrijf dat onlangs in 2025 een meerderheid van zijn aandelen door Amerikaanse investeerders zag kopen, en wordt verkocht aan overheden. Theoretisch voor het vangen van terroristen. In de praktijk? Vaak gebruikt tegen journalisten, activisten en vervelende politici.

Het Citizen Lab van de Universiteit van Toronto heeft het forensische rapport afgelopen vrijdag laten vallen. De timing kon niet slechter zijn. Of beter, afhankelijk van of je van drama houdt. Kouloglou’s telefoon was niet één keer het doelwit. Maar meerdere keren. Eerst op 21 oktober 2202, terwijl hij in het ziekenhuis lag te herstellen van een electieve operatie. Voorstellen. Daar liggen. Kwetsbaar. Dan bezoekt een Griekse onderzoeksjournalist, Thanasis Koukakis, die zelf was gehackt door een ander stuk spyware genaamd Predator, hem. Ze praten. Misschien over de commissie. Misschien over de zaak.

Daarna stilte. Tot maart 2023. De commissie maakte zich op voor belangrijke hoorzittingen. Ze stonden op het punt spywareleveranciers te ondervragen. Dat is het moment waarop Pegasus opnieuw toeslaat. Op 6 en 7 maart. Toeval? Vertel het mij.

De ironie is verstikkend.

Hannah Neumann, een ander parlementslid in de commissie dat groen neigt en hier absoluut niet subtiel over is, noemde het absurd. De aanvallers keken niet alleen naar de man. Ze keken naar het onderzoek.

“We hebben het spionageonderzoek bespioneerd”, vertelt Neumann aan WIRED. Zo speelde het.

De Citizen Lab-onderzoekers hebben een diepe duik gemaakt. Ze konden niet vaststellen wie de opdracht gaf tot de treffers. Geen smoking gun gericht op een specifieke overheidsinstantie. Ze sloten de Griekse regering deze keer expliciet uit, wat van belang is omdat Griekenland rond dezelfde tijd midden in zijn eigen spyware-puinhoop in “Watergate”-stijl zat, waarbij Intellexa’s Predator-software betrokken was. Maar de vingerafdrukken komen overeen. De aanvalsvectoren overlapten met pogingen tegen zeven Russisch- en Wit-Russisch sprekende journalisten tussen eind 2020 en begin 2023. Het is een patroon. Het is altijd een patroon.

John Scott-Railton van Citizen Lab zegt het botweg.

“Het is een open spywareseizoen voor Europese wetgevers.”

Niemand is voorbereid. Nationale parlementen? Weerloos. De EU? Slapen.

Kouloglou geeft toe dat hij waarschijnlijk de ‘Lockdown’-waarschuwingen van Apple heeft gezien: de waarschuwingen die zeggen: ‘Hé, misschien is iemand je aan het hacken.’ Hij kreeg ze in maart en augustus 2303. Opnieuw in april 2404. Maar meldingen komen laat. Tegen de tijd dat de brief komt, is de inbraak achter de rug. Hij kan zich trouwens niet herinneren dat hij ze gezien heeft. Wie kijkt er op hun scherm naar fouten als ze bezig zijn de democratie te redden?

Wat de meeste mensen stoort, is dat er niets is veranderd. De PEGA-commissie heeft haar werk afgerond. Er werd een lijst met eisen overhandigd. Bouw een EU-technologielaboratorium voor forensische analyse. Creëer een spyware-taskforce voor verkiezingen. Beveilig de kanalen. Jaren gingen voorbij. Het stof is neergedaald. En dan bam. Een commissielid raakt geworteld.

Europa heeft het probleem genegeerd totdat het probleem de hand greep.

De woordvoerder van het Europees Parlement wilde geen WIRED-details geven, maar wees op enkele ‘screeningssystemen’ voor leden van het Europees Parlement. Maatregelen. Uitbreidingen van bescherming. Klinkt als technisch jargon voor ‘we proberen het’. Maar probeer harder. De aanbevelingen verzamelen digitale mal.

Scott-Railton noemt de situatie een schande. En hij heeft geen ongelijk. Andere landen zijn verhuisd. De VS hebben leveranciers gesanctioneerd, visa verboden en uitvoerende bevelen gebruikt om de spywaremarkt te kalmeren. Europa debatteert alleen maar. Ondertussen maakt AI dit goedkoper. Makkelijker. Sneller. De toetredingsbarrière verdwijnt.

Kouloglou beschouwt de inbreuk als een schending van zijn persoonlijke leven. Berichten met kinderen. Met familieleden. Niet alleen werkdingen. Leven.

“Het is niet alleen een kwestie van privacy. Het is rechtvaardigheid. Democratie.”

Hij wil verantwoording afleggen. Maar verantwoording vereist actie. Tot nu toe is de stilte luider dan de spyware-alarmen.