Для проведения технической экспертизы существовал единственный наилучший вариант. Золотым стандартом независимых исследовательских центров по кибербезопасности была Citizen Lab. Это учреждение и его сотрудники были известны в этой области и пользовались уважением во всем мире. Поэтому все участники проекта были рады, когда Citizen Lab и ее ведущий компьютерный ученый Билл Марчак, согласились провести экспертную оценку. Глава Amnesty Tech Дэнна Инглтон организовала механику вместе с Роном Дейбертом, директором Citizen Lab в Торонто. Первым этапом двухчастной экспертизы был судебный анализ нескольких iPhone, в которых Клаудио и Доннча нашли доказательства компрометации со стороны Pegasus. Анализ проводился вслепую, с использованием собственных криминалистических инструментов Citizen Lab, без знания методологии, которую использовала Security Lab в своем анализе. Предполагалось, что Citizen Lab повторит выводы Security Lab. Вторая часть экспертной оценки была бы более общей проверкой методологии, которую использовали Клаудио и Донча. Что-то вроде стороннего тренера, который смотрит фильм после игры и оценивает игры.

Я не предвидел никаких проблем, но это не означало, что я был свободен от беспокойства. Любые неожиданные проблемы в экспертной оценке могли оказаться губительными для расследования. Если бы Citizen Lab не смогла повторить наши выводы или обнаружила серьезные проблемы в нашей методологии, спасение проекта "Пегас" стало бы нелегкой задачей. С разрешения владельцев — Хадии Исмайловой, Саболча Паньи и Эдви Пленеля — 24 июня мы отправили в Торонто три отдельных файла резервных копий iPhone и попросили их быстро обработать. Первые результаты пришли через четыре дня, что показалось очень долгими четырьмя днями.

Билл Марчак и его коллега Джон Скотт-Рейлтон позвонили нам, чтобы сообщить о том, что они нашли, а затем прислали свой письменный отчет. Открыв файл, я пропустил короткий раздел с названиями процессов, сгенерированных Pegasus, которые Citizen Lab распознала в каждом из трех новых анализов, и перешел сразу к денежному абзацу: "Мы с высокой степенью уверенности заключаем, — говорилось в нем, — что все три iPhone "были успешно заражены шпионской программой Pegasus от NSO Group в указанные даты". Наш вывод с высокой степенью уверенности обусловлен тем, что мы никогда не видели, чтобы вышеуказанные имена процессов использовались в доброкачественном контексте, и только в случаях заражения шпионским ПО Pegasus от NSO Group мы видели, что вышеуказанные имена процессов использовались с высокой степенью уверенности".

Я разместил свое резюме первого этапа экспертной оценки на защищенном сайте, к которому могли получить доступ все партнеры, вместе с pdf-файлом отчета, переданного Citizen Lab, и предвкушал коллективный вздох облегчения от коллабораторов проекта "Пегас" по всему миру. Крейг Тимберг почти сразу же опубликовал комментарий. "Это потрясающая новость!" — написал он. "Молодцы!" Миранда Патручич из OCCRP поддержала его: "Это превосходно".

Ни Клаудио, ни Донча не собирались кричать о том, что их работа получила одобрение, отчасти потому, что ни один из них не стремился оказаться в центре внимания. На протяжении всего нашего сотрудничества они оставались сдержанными мастерами. И это не собиралось меняться. Но когда два дня спустя Клаудио вышел на связь, чтобы взять интервью у небольшой подгруппы партнеров, которые хотели получить от него цитаты для своих репортажей о дне открытия, до которого оставалось всего восемнадцать дней, он выглядел почти жизнерадостным. Возможно, он даже несколько раз улыбнулся. Клаудио был на линии полтора часа, терпеливо отвечая на вопросы, готовый объяснить все, что угодно из первого черновика восьмидесятистраничного отчета, который они с Доннчей планировали выпустить в день нашей публикации. Клаудио предоставил черновик всем партнерам ранее в тот же день.

Он слышал те же вопросы, которые уже задавали ему некоторые из этих репортеров, иногда снова и снова: "Откуда вы знаете, что это Pegasus, а не какая-нибудь другая шпионская программа?" — но, похоже, он был рад ответить. "Имена этих процессов очень уникальны. Очень своеобразные. Их всего несколько десятков, и это не легитимные имена процессов iOS. И я могу сказать это точно, потому что я также проделал упражнение по загрузке всех версий iOS, которые были выпущены с 2016 года, и проверил все файлы, которые были выпущены вместе с ними. И ни один из них не появился на ней. Поэтому мы знаем, что эти появляющиеся процессы не являются легитимными процессами. Это вредоносные процессы. Мы знаем, что это процессы Pegasus, потому что они подключены к сетевой инфраструктуре, которую мы видели".