"В принципе, Клаудио сказал, что вы можете работать над чем угодно. Хорошо, что у нас была такая гибкость, но в то же время мы думали: "Что мы будем делать?"".

Ответ на этот вопрос как бы сам упал к ним в руки через несколько месяцев работы Доннчи. Сотрудница Amnesty International из Саудовской Аравии связалась с ними по поводу сообщения в WhatsApp, которое она только что получила от незнакомого человека; это было срочное предупреждение о протесте, который должен был состояться перед посольством Саудовской Аравии в Вашингтоне. "Нам нужна ваша поддержка, пожалуйста", — говорилось в сообщении, и ей предлагалось перейти по ссылке для получения дополнительной информации. Сотрудницу ИИ уже предупреждали о новом оружии киберслежки, нацеленном на мобильные телефоны, и она беспокоилась, что кто-то пытается совершить подобную атаку на нее. Клаудио и Донча согласились, что у нее есть причины для беспокойства, и провели расследование.

Изучив сообщение и ссылку, они смогли выявить причуду подписи в настройках домена и сервера. Это сообщение WhatsApp и ссылка были тщательно продуманы, чтобы скрыть любую информацию об атаке и личность злоумышленника. Ссылка и конечный сервер были настроены особым образом. Любая попытка открыть несуществующую страницу на сервере не приводила к типичному сообщению "Not Found"; сервер просто не отвечал на запрос, чтобы не насторожить жертву. Это уже наводило Клаудио и Доннча на мысль, что они имеют дело не с обычным спамом или киберпреступной атакой.

Но это еще не все.

Алгоритм шифрования на сервере был тщательно настроен для обеспечения дополнительной безопасности. Парадоксально, но все эти дополнительные заботы операторов помогли Клаудио и Доннче изолировать и идентифицировать эти серверы, потому что они выделялись как уникальные. Они отличались от всех остальных серверов в Интернете.

Когда Клаудио и Донча составили карту этой конфигурации, у них появился своего рода цифровой отпечаток пальца. Затем они провели сканирование Интернета летом 2018 года, буквально подключившись к каждому серверу в сети, в поисках других, имеющих такую же конфигурацию, такой же цифровой отпечаток. Они обнаружили почти шестьсот отдельных совпадающих серверов, которые служили стартовыми площадками для соответствующих шпионских атак.

Шансы выяснить происхождение этих серверов и доменных имен, которыми они владели, были бы невелики, если бы не несколько ранних криминалистических расследований, проведенных Citizen Lab при Университете Торонто. Исследователи из Citizen Lab уже несколько лет преследовали одного конкретного провайдера киберслежки. В 2016 году они не только нашли доказательства того, что шпионское ПО этой компании успешно заразило мобильный телефон правозащитника в Объединенных Арабских Эмиратах, но и смогли собрать воедино всю сетевую инфраструктуру компании. Среди прочего, они обнаружили сотни доменных имен, связанных с серверами компании. Citizen Lab опубликовала многие из них для всеобщего обозрения.

Компания отреагировала мгновенно, перестроив всю систему, составляющую ее "анонимизирующую сеть передачи данных", и изменив доменные имена. Но компания допустила важную ошибку: она повторно использовала два доменных имени из своей предыдущей версии: pine-sales[.]com и ecommerce-ads[.]org.

Так Клаудио и Донча их и поймали. Они нашли эти доменные имена в новой инфраструктуре, и это подсказало им, кто управляет системой. Это была NSO Group. Это был Pegasus. "Каждый инсталляционный сервер Pegasus или сервер управления и контроля (C&C) размещал веб-сервер на порту 443 с уникальным доменом и сертификатом TLS", — пишут они. "Эти пограничные серверы затем проксировали соединения через цепочку серверов, названную NSO Group "анонимной сетью передачи данных Pegasus"".

Поиск новых доменов Pegasus, соответствующих отпечатку пальца, также привел Клаудио и Дончу ко второй жертве. Яхья Ассири был бывшим офицером королевских ВВС Саудовской Аравии, который стал нежелательной занозой в боку саудовской королевской семьи. Под угрозой физической расправы Ассири бежал из родной страны, однако ему удалось создать в Саудовской Аравии сеть правозащитников и продолжить острую критику правящей монархии. Он публично ставил под сомнение религиозность саудовской королевской семьи, ее управление, плохое обращение с обнищавшими подданными и склонность к варварским наказаниям, таким как побивание камнями, порка, отсечение конечностей и обезглавливание. Другими словами, Асири говорил такие вещи, которые сами по себе навлекали на него подобные наказания. "Это абсолютная монархия, которая не позволяет своим гражданам участвовать в управлении своей страной", — сказал Ассири одному западному изданию. "Они используют ислам как оправдание для эксплуатации собственного народа. Это противоречит фундаментальным исламским учениям". Он призвал королевскую семью написать национальную конституцию, которая отстаивала бы демократические институты и обеспечивала бы справедливое и честное, но менее смертоносное верховенство закона. Или же он хотел, чтобы они уступили власть. В ответ королевская семья дала понять, что хочет получить скальп Яхьи Асири.