Die Personen wurden zunächst von Apple auf den Hackversuch aufmerksam gemacht, der beiden eine Warnung schickte, dass sie möglicherweise von einem staatlich geförderten Akteur ins Visier genommen wurden. Die Warnung wurde später nach Untersuchungen von Forschern von Access Now, der Share Foundation in Serbien, dem Citizen Lab an der Munk School der University of Toronto und Amnesty International bestätigt.
Vor wenigen Monaten enthüllten Experten, dass russische Journalisten, die Wladimir Putin kritisch gegenüberstehen und in der Europäischen Union leben, ebenfalls Ziel von Spyware waren. Der Europarat und das Europäische Parlament haben versucht, Maßnahmen voranzutreiben, die den Einsatz von Spyware eindämmen würden, aber das Auftreten neuer Fälle innerhalb der Union deutet darauf hin, dass einige europäische Regierungen offensichtlich bereit sind, weiterhin Spyware zur Unterdrückung und Einschüchterung politischer Kritiker einzusetzen.Natalia Krapiva, Technologie-Rechtsberaterin bei Access Now, sagte: "Diese Ergebnisse sind äußerst besorgniserregend für die Rechtsstaatlichkeit und Demokratie in Serbien. Der unkontrollierte Einsatz kommerzieller Spyware ist nicht nur Gift für die Menschenrechte, sondern auch für die Sicherheit und die demokratischen Institutionen in jedem Land." Die Experten fanden heraus, dass die Serben am oder um den 16. August 2023 im Abstand von etwa einer Minute voneinander angegriffen worden waren. Access Now und Citizen Lab entdeckten Spuren des Angriffsversuchs, bei dem eine mögliche Schwachstelle in der HomeKit-Anwendung des iPhones ausgenutzt werden sollte.
Die Experten sagten, die Taktik sei "im Einklang" mit denen, die zuvor von der israelischen NSO Group angewendet wurden, die eine der fortschrittlichsten Cyberwaffen der Welt, bekannt als Pegasus, verkauft. Wenn Pegasus erfolgreich gegen ein Ziel eingesetzt wird, kann es im Wesentlichen ein Mobiltelefon übernehmen und das Telefon in ein tragbares Abhörgerät verwandeln. Es kann auch auf Informationen zugreifen, die in verschlüsselten Anwendungen gespeichert sind, und die Fotos und Nachrichten eines Benutzers anzeigen. Die Experten im serbischen Fall konnten nicht definitiv bestätigen, welche Art von Spyware verwendet wurde, da nur begrenzte forensische Indikatoren verfügbar waren.
"Wir führen diese Angriffe zum jetzigen Zeitpunkt nicht auf einen bestimmten Betreiber zurück, stellen jedoch fest, dass Untersuchungen von Citizen Lab in einem Jahrzehnt ergeben haben, dass Serbien ein Stammkunde für Söldner-Spyware und andere kommerzielle Überwachungstechnologien ist", sagte John Scott-Railton, ein leitender Forscher am Citizen Lab. NSO sagte in einer Erklärung, dass der Bericht von Citizen Lab und Access Now "nicht schlüssig" sei. Das Unternehmen hat wiederholt erklärt, dass Pegasus an Regierungen verkauft wird, um bei schweren Kriminalitäts- und Terrorermittlungen eingesetzt zu werden, und dass sein Einsatz "Leben rettet". Es fügte hinzu: "NSO betreibt seine Technologie nicht und ist nicht in die gesammelten Informationen eingeweiht."
Während die Forscher die versuchten Angriffe in Serbien nicht eindeutig einer bestimmten Spyware zuordnen konnten, dürften die versuchten Hacks den Fokus erneut auf frühere Erkenntnisse im Zusammenhang mit verdeckter Datenerfassung und Überwachung durch die serbische Sicherheitsinformationsagentur (BIA) richten. Der jüngste Direktor der BIA war Aleksander Vulin, der im Juli 2023 vom US-Finanzministerium auf eine Sanktionsliste gesetzt wurde, weil er Moskau unterstützte und "seine politischen Positionen nutzte, um Unterstützung für die bösartigen Aktivitäten Russlands aufzubauen" und die Instabilität in Serbien zu schüren. Vulin trat am 3. November von seinem Amt zurück.
Ein mutmaßliches Opfer des Hackerangriffs beschrieb, dass sich ihre Arbeit darauf konzentrierte, das "autokratische Regime" Serbiens und die "weit verbreitete Korruption" des Landes sowie die pro-russische Außenpolitik der aktuellen Regierung zu kritisieren, was jedoch nicht der Fall war in Fragen wie den Sanktionen gegen Moskau auf einer Linie mit der EU. Der Hackerangriff, sagte die Person, sei wahrscheinlich ein Versuch gewesen, sie einzuschüchtern oder ihre Arbeit zu diskreditieren, "etwas zu finden, was mich kompromittiert".
Beide angegriffenen Personen glaubten, dass die versuchten Hackerangriffe auch mit Forderungen nach offiziellen Untersuchungen zum Umgang der Regierung mit einem Amoklauf, bei der im vergangenen Sommer 17 Menschen – darunter Kinder – ums Leben kamen, zusammenhängen könnten. Im Anschluss an die Schießerei kam es zu Massendemonstrationen, bei denen die Demonstranten den populistischen Präsidenten Aleksandar Vučić anprangerten, der für die Entstehung von Spaltungen im Land verantwortlich gemacht wurde, die nach Ansicht mancher zu dem Amoklauf geführt hätten.
