Доннча сидел за кухонным столом в своем доме в Бирре — прямо по коридору от комнаты, где он учился кибернетическим навыкам, где десять лет назад разыграл Руперта Мердока и куда впервые ворвалась местная полиция, чтобы допросить его о предполагаемых "киберпреступлениях", — когда на третьей неделе июня началась загрузка резервной копии iPhone Хатиче. Клаудио находился на балконе в Берлине, разговаривал с Даной по телефону, объясняя ей суть процесса, а также общался по отдельной линии с Дончей. Когда файлы загрузились, криминалистический инструмент Security Lab в мгновение ока выкопал все необходимое.

Клаудио и Донча, разделенные двумя тысячами километров, могли видеть все это в одно и то же время. Они точно знали, что нашли. Там был файл CrashReporter, и процесс bh, и извлечение данных, и еще одно имя процесса, сгенерированное Пегасом. Телефон Хатидже, несомненно, был атакован и успешно взломан шпионской программой Pegasus. Доказательства атаки и/или заражения были обнаружены в три отдельных дня в течение шести дней в начале октября 2018 года. Первая атака произошла через четыре дня после того, как саудовские головорезы МБС убили Джамаля Хашогги.

"Это был как поворотный момент", — вспоминал Клаудио. "К тому времени мы уже нашли много дел, но для меня это был просто щелчок. "Черт. Это будет грандиозно". Это не просто кучка журналистов в какой-то стране, о которой никто никогда не слышал и которая никого не волнует. Это будет иметь влияние. Из-за серьезности истории, в которую была вовлечена [Хатидже], и из-за того, что [НСО и Шалев] постоянно повторяли, что все это полная чушь".

У Донча была такая же реакция. "Это не преувеличение, история с Хашогги", — вспоминает он. "Это действительно реальность. Это опровергает всю ту ложь, которую НСО годами твердила, что они не имеют никакого отношения к убийству". Я помню, как встал из-за стола и почти сказал: "О, вау. Мы нашли улику".

События происходили так быстро, что уследить за ними было настоящим трудом. В проекте участвовало около восьмидесяти журналистов, и у нас было отдельных расследований в Европе, Азии, Африке, Америке и на Ближнем Востоке. Нина Лакхани из "Гардиан" только что вернулась из Мексики; ей не повезло больше, чем Паломе, в поисках телефона Сесилио Пинеды, но Нина успела написать историю о последней работе Сесилио и угрозах в его адрес за несколько недель до его до сих пор нераскрытого убийства. Сиддхарт встретился с политическим оппонентом премьер-министра Индии Нарендры Моди, Рахулом Ганди, который подтвердил сообщения о том, что кто-то (и Ганди сказал, что это мог быть кто-то внутри NSO) предупредил его о том, что он стал объектом нападения.

Кристоф Клерикс из Knack в Бельгии собирался вернуться, чтобы поговорить с Карин Канимба и получить ее телефоны для очередного раунда экспертизы. Я провел несколько часов в своей квартире с репортером из "Радио Франс", который направлялся в Руанду, пытаясь выяснить, как она может подойти к известным целям Pegasus там. Это была непростая задача. Руанда была опасным местом для работы иностранного журналиста. Она знала, что за ней, скорее всего, будут наблюдать и следить правительственные службы безопасности. Даже после десятилетий работы над источниками в этом регионе у нее не было никого, кому она могла бы полностью довериться, чтобы сохранить необходимую секретность.

Крейг Тимберг из The Washington Post получал хороший справочный материал от специалистов по кибербезопасности, которые хотя бы в общих чертах представляли себе уязвимости приложения iMessage от Apple. "Отправляйте неограниченное количество текстов, фотографий, видео, документов и многого другого", — так рекламировала приложение компания Apple. Эта программа "один сервис — все" была очень удобна для пользователя, но за это удобство приходилось платить, что мало кто понимал. По словам одного киберэксперта, когда iMessage был просто версией SMS от Apple, он был достаточно защищенным, но когда приложение позволило айфонам загружать видео, GIF-файлы и игры, оно стало значительно менее безопасным. По мере того как Apple добавляла в iMessage все новые и новые аспекты, она создавала все большую "поверхность атаки".

Мартин Унтерсингер из Le Monde смог дополнить репортаж Крейга информацией от источника, который провел некоторое время в команде безопасности Apple. "Вначале в iOS было мало уязвимостей, но в последние несколько лет ситуация ухудшилась", — предложил Мартин команде общую информацию. iPhone, вероятно, был самым защищенным мобильным телефоном на рынке, и у Apple все еще была "колоссальная" команда, играющая в защиту, объяснил он. Но на эту команду обрушилось множество проблем, как с точки зрения внешних исследователей, ищущих недостатки, так и с точки зрения кодеров, случайно создающих их. Разработчики вносят ошибки, когда плохо пишут код, когда начинают со сложной кодовой базы или потому, что их заставляют работать быстро". В последние несколько лет релизы Apple ускорились".

Хольгер Старк только что вернулся из Тель-Авива с целым мешком очень полезных материалов, в том числе с подтверждением некоторых ключевых фактов о НСО и его отношениях с израильским правительством и его спецслужбами. Репортер по вопросам национальной безопасности Шейн Харрис и еще один его коллега из "Вашингтон пост" запланировали свою поездку в Израиль на начало июля. Амитай Зив тем временем собирался взять интервью у Ури Ансбахера о его сомнительных делах в Мексике, о которых он теперь знал гораздо больше, имея доступ к документам, которыми поделился с группой Кармен Аристеги. Амитай только что получил звонок на от партнера-основателя NSO Шалева Хулио, Омри Лави, который хотел посидеть за чашечкой кофе в последнюю неделю июня. Амитай только что опубликовал в "Гаарец" статью о недавних финансовых проблемах NSO, так что, скорее всего, Омри пытался устранить последствия. Но приглашение все равно заставило меня на секунду задуматься, не следит ли НСО за нами.

Мои нервы уже были немного взвинчены, когда 17 июня пришел Лоран и показал мне тревожное сообщение от Фабриса Арфи, нашего друга и коллеги из Mediapart, который помог убедить Эдви Пленеля позволить нам провести экспертизу его телефона еще в апреле. Фабрис прислал Лорану сообщение, в котором говорилось, что в Париже ходят разговоры о том, что Эдви заразился "Пегасом". Ни Фабрис, ни Эдви не были этому рады. Mediapart готовил свой собственный репортаж о киберслежке отдельно от нашего консорциума, но они сделали коллегиальное предложение придержать свои материалы до нашей публикации. Фабрис беспокоился, что история о заражении "Пегаса" в Mediapart просочится, и это опозорит уважаемый сайт. Эдви нервничал. Фабрис нервничал. Я и сам был немного обеспокоен. До публикации оставался еще месяц, и я должен был следить за тем, чтобы это расследование оставалось в тайне до тех пор, пока мы не будем готовы нажать кнопку "Выход".

Кристоф Клерикс был полон решимости дописать историю Карин Канимба для Knack, когда 24 июня 2021 года он отправился к ней в Бельгию. Кристоф с энтузиазмом участвовал в проекте "Пегас", и он знал, что Карин в то время жила в Бельгии. Ее отец, Пол Русесабагина, был похищен руандийскими властями годом ранее, в настоящее время его судили по весьма сомнительным обвинениям, и казалось, что ему вынесут приговор, который гарантирует, что он умрет в тюрьме.

Карин покинула Руанду совсем юной девушкой, вскоре после того, как пережила геноцид; она поступила в колледж в США и работала в Нью-Йорке на протяжении всей своей карьеры. С тех пор как ее отец был похищен, она жила в Бельгии. У Карин было два телефона: один с бельгийским номером, другой — с американским. Ни один из телефонов не оказался особенно сговорчивым.

За последние три недели Кристоф уже трижды ездил к Карине в Бельгию, чтобы провести экспертизу двух ее телефонов, но анализ так и не был завершен никем. Во время первого визита Кристоф попытался сделать резервную копию одного телефона, но файл оказался слишком большим; во время второго визита при загрузке в лабораторию безопасности пропал ключевой файл. План четвертого визита Кристофа состоял в том, чтобы получить более полную резервную копию бельгийского телефона для анализа Клаудио. В тот день возникли дополнительные сложности. Когда Кристоф попытался собрать диагностические журналы с телефона Карин, процесс застыл, чего Клаудио никогда раньше не видел. "Я подумал: "Ну, это странно", — вспоминает Клаудио. Он предложил Карин выключить телефон и перезагрузить его, что она и сделала, и на этот раз извлечение журнала прошло без проблем. В тот день Клаудио пришло в голову, что, возможно, телефон был заражен Pegasus в тот самый момент, когда он пытался извлечь данные, и вредоносная программа блокировала его. Когда он проверил диагностические журналы на временной шкале, то обнаружил выполнение процессов Pegasus, которые он неоднократно наблюдал в течение нескольких предыдущих месяцев: otpgrefd, launchafd, vrn_stats. "Там были записи вплоть до той минуты, когда я сказал ей выключить телефон. Она заражалась каждые несколько дней, и мы случайно оказались рядом".