Когда Дана впервые обратилась к ней, Ханан не решалась помочь. Она потеряла работу в авиакомпании Emirates и жила в подполье, боясь, что за ней и ее семьей следят службы безопасности Саудовской Аравии и ОАЭ. Но Дана, заручившись поддержкой адвоката Ханан, убедила ее помочь нам. Ханан позволила Дане сделать резервные копии двух телефонов на базе Android, которыми она пользовалась за несколько месяцев до убийства Джамаля, и Дана загрузила их на криминалистическую платформу Клаудио и Доннча. Некоторые строки кода выглядели интересно на экранах в Берлине, но Клаудио не смог сделать никаких определенных выводов, потому что, как он уже понял на собственном опыте, резервные копии Android предоставляли так мало данных для работы. Клаудио попросил Дану взять телефоны с собой на нашу общую встречу в Париже во вторую неделю мая 2021 года. Ханан согласилась, доверив Дане телефоны и все необходимые пароли. Так что в Париже один из этих телефонов лежал лицом вверх на ботинке Клаудио, пока он печатал на своем ноутбуке в течение тех трех долгих минут.

"Так, это одно", — наконец сказал Клаудио Дане, показывая ей SMS-сообщение на телефоне Ханан. "Это одно сообщение".

"Это к ней?" спросила Дана.

"Да."

Дана отметила, что сообщение выглядело так, будто его отправила сестра Ханан, которая предлагала Ханан загрузить новую фотографию с Photobucket.

"Да, такую тактику мы видели много раз", — объяснил Клаудио. "Они отправляют сообщение, довольно типичное, и включают в него ссылку".

Дана записывала доменное имя ссылки, отправленной Ханан: https://myfiles[.]photo/sVIKHJE.

"Это определенно сообщение, которое, скорее всего, спровоцировало бы эксплуатацию браузера", — говорит Клаудио.

"И что, человек должен будет нажать на эту ссылку?" спросила Дана.

"Да. Они должны были нажать на это, и открывался браузер на телефоне. А затем, открыв браузер, они попытались бы запустить эксплойт".

Дана спросила, есть ли у Клаудио дата подвига, и он прочитал временную отметку на сообщении прямо с телефона: 15 апреля 2018 года.

"Думаю, это также отображается в истории браузера", — пояснил Клаудио, указывая на вредоносное доменное имя. "Это означает, что она, вероятно, перешла по ссылке в то время".

"Подождите, простите, а что говорит о том, что она, вероятно, нажала на него?"

"Возможно, потому, что она также появилась в истории проектов [мобильного телефона]", — объяснил Клаудио.

"Хорошо."

"А вот еще одно", — сказал Клаудио, прокручивая в телефоне SMS-сообщения. "Это немного старше".

"Так вот, хочу заметить", — сказала Дана, все еще переваривая услышанное о первом свидании: 15 апреля 2018 года. "Это до убийства".

Разоблачения того вечера были похожи на многие другие, сделанные на средних этапах проекта "Пегас", — большой скачок вперед и все же немного не дотягивающий до цели. Можно было с уверенностью сказать, что конечный пользователь Pegasus попытался заразить мобильный телефон, принадлежащий кому-то из самого близкого окружения Хашогги, его жене. Но телефоны на базе Android просто не сохраняют достаточно цифровой информации — например, нет журнала использования данных, который бы фиксировал выполнение вредоносных процессов, — чтобы быстро и легко предоставить доказательства успешного заражения. Или для того, чтобы с уверенностью сказать, кто из конечных пользователей Pegasus совершал атаки.

В тот вечер Клаудио отправился в путь с двумя мобильными телефонами Ханан, засунутыми в рюкзак, и пообещал, что вечером вернется в свой отель и все внимательно изучит. "Я собираюсь еще немного покопаться", — сказал он.

Сеанс цифровой экспертизы один на один с Даной ознаменовал конец двух долгих и трудных дней для Клаудио, а также для Лорана, меня и всех остальных участников проекта "Пегас". Мы находились в середине трех с половиной дней конференции, которую мы с Лораном созвали, чтобы рассказать о нашем расследовании более широкому кругу журналистов и выработать план дальнейших действий. За этот короткий срок мы добились огромного прогресса, но у нас оставалось еще много вопросов без ответов и много нервных новых партнеров, решающих, как поступить с большой горячей картошкой киберслежки, которую мы только что бросили им в руки.