Клаудио и Доннча очень быстро обнаружили несколько ссылок в старых SMS-сообщениях, сохранившихся на iPhone Маати Монджиба, и очень быстро связали эти ссылки с серверами и доменами, которые, как известно, являются частью системы Pegasus. Когда они спросили его, не согласится ли он позволить им провести более глубокое погружение в его телефон, чтобы собрать дополнительные доказательства, Маати согласился позволить двум исследователям кибербезопасности выполнить джейлбрейк его iPhone.

Джейлбрейк — это то, на что он похож: взлом, который не соответствует всем юридическим тонкостям. Вот как это работает: Apple Inc. позволяет покупателям iPhone использовать устройство не так, как они хотят, а так, как задумано Apple Inc. Каким бы дорогим и фундаментальным ни стал для каждого из нас мобильный телефон, почти как продолжение нашей личности, мы не столько владеем своим телефоном, сколько арендуем его под негибкие ограничения, установленные компанией. Компания Avis ведь не позволит кому-то ремонтировать двигатель автомобиля в течение срока аренды, верно? Так вот, Apple не хочет, чтобы ее клиенты даже заглядывали под капот, не говоря уже о том, чтобы что-то там переделывать.

Например, пользователь iPhone может получить доступ к файлам, необходимым для запуска приложений, которые ему разрешено устанавливать, но не для приложений, которые Apple Inc. не одобряет. Apple также не разрешает доступ к файлам в своей операционной системе iOS. В частности, компания не разрешает доступ к "ядру", которое управляет всей системой. Инженеры компании даже ограничили доступ пользователя iPhone к различным легитимным процессам, активно запущенным на устройстве. Apple не хочет, чтобы кто-то перестраивал работу телефона, и не хочет, чтобы кто-то положил глаз на эту ценную жилу проприетарного кода внутри. Чтобы проникнуть внутрь, нужны опытные злоумышленники — киберспециалисты вроде Клаудио и Доннча, которые научились находить и использовать уязвимости в защитном ограждении, возведенном Apple, а затем "повышать свои привилегии" на телефоне. Опытные специалисты по кибербезопасности могут получить root-доступ к телефону, как это делает Pegasus, и увидеть (или изменить) практически все, что пожелают.

Именно это пара и решила сделать с iPhone Маати Монджиб. Попутно они сделали два важнейших открытия: одно относилось к iPhone вообще, а другое — к телефону Маати в частности. Первое произошло, когда Клаудио и Доннча создали полную резервную копию и образ файловой системы телефона Маати в iTunes и обнаружили, что из нее был извлечен необычный кэш данных, которого они раньше не видели. В отличие от телефонов на базе Android, где многие важные данные стираются при перезагрузке или просто исчезают за несколько месяцев, iPhone хранит информацию годами в различных журналах резервного копирования. Так что у техников Security Lab был доступ к стандартным резервным копиям, таким как старые текстовые сообщения и ссылки на них, а также история браузера. Кроме того, они получили доступ к журналу iOS под названием DataUsage.sqlite, в котором фиксировалось четкое название каждого процесса, происходящего на устройстве, а также то, когда и сколько именно мобильных данных было использовано. DataUsage.sqlite открывал совершенно новый путь для отслеживания Pegasus.

Поскольку Клаудио и Донча имели полный и неограниченный доступ к резервным копиям файлов Маати прямо в своем берлинском офисе, они могли уделить время поиску каждой иголки в этом цифровом стоге сена. Они могли написать и обновить свой собственный код для поиска специфических шпионских программ-маркеров, уже обнародованных или опубликованных в частном порядке в сообществе кибербезопасности. В журналах резервного копирования Маати они обнаружили процесс под названием "bh". Впервые процесс bh был обнаружен летом 2016 года, когда Citizen Lab совместно с частной компанией по кибербезопасности Lookout раскрыла попытку заразить iPhone программой Pegasus. По словам инженеров Lookout, разработанный NSO bh.c был инструментом, помогающим доставлять "полезную нагрузку следующего этапа" и "правильно размещать ее на iPhone жертвы". Эти полезные нагрузки, как они определили, были ранними стадиями эксплойтов для веб-браузера Pegasus. Lookout также обнаружил в пакете со шпионским ПО доказательства того, что "bh" — это сокращение от "Bridgehead".