В середине марта 2021 года, когда Клаудио и Доннча получили резервные копии iPhone Сиддхарта Варадараджана, М. К. Вену и Паранджоя Гуха Тхакурты, криминалистический инструмент SECURITY LAB еще только развивался. У двух киберисследователей уже был набор маркеров Pegasus для поиска в этих резервных копиях. Они определили конкретные серверы и доменные имена новой инфраструктуры NSO версии 4. Они также усердно работали над каталогизацией миллионов имен легитимных процессов Apple, чтобы было легче выделить имена процессов шпионских программ, которые были тайно внедрены в iPhone, — те, которые им не принадлежали.

Тем временем утечка списка дала Клаудио и Доннче новые важные данные: временные метки, указывающие на то, когда телефон был выбран для атаки. Поэтому, когда криминалистический инструмент Security Lab построил подробную временную шкалу всех предыдущих действий с резервными копиями iPhone из Индии, Клаудио и Доннча знали, на чем сосредоточить свою детективную работу.

Самое важное, что у них была горстка имен процессов, основанных на Pegasus, найденных в телефоне Маати и Омара, которые помогли им выявить другие возможные случаи заражения "нулевым кликом". Теперь Клаудио и Доннча могли провести цифровой поиск этих процессов в журнале DataUsage.sqlite и журнале истории браузера. У нас были основания надеяться, что анализ Лабораторией безопасности наших делийских айфонов принесет первые маленькие самородки золота из нашего утечки.

На следующий день Клаудио позвонил Финеасу и мне с отчетом.

"Итак, с телефона М. К. ничего не поступало", — гласила статья Клаудио. "Похоже, он совсем не совпадает с нашими записями". Но на этом он не остановился и даже не сделал паузы. "Более интересен старый телефон Сиддхарта, я полагаю. И у Паранджоя тоже есть похожие артефакты". Телефон Сиддхарта действительно дал нам первые полезные улики, которые помогли создать проект "Пегас". "В общем, похоже, что произошло следующее: [Сиддхарта] начали выбирать примерно в апреле 2018 года, и, похоже, у них ничего не получалось, пока, по иронии судьбы, он не обновил свой телефон", — объяснил Клаудио. "И вот на следующий день, похоже, им это удалось".

Клаудио хотел, чтобы мы поняли, что они не обнаружили никаких дымящихся улик, но все равно это было хорошим началом. В логах Сиддхарта были записаны точно такие же имена процессов, как и в зараженных "Пегасом" айфонах, принадлежащих Маати и Омару. Первые две неудачные атаки на телефон Сиддхарта, похоже, произошли как одно целое, в течение минуты. Третья попытка принесла результат. 27 апреля 2018 года, в 4:41 утра пятницы, в корневом домене был создан CrashReporter[.]plist. Заражение заняло.

"Мы снова видим несколько процессов, которые вызывают подозрения", — сказал нам Клаудио. "И я имею в виду очень большие подозрения на то, что это компоненты NSO. Затем мы видим еще один процесс, который загрузил более трехсот мегабайт с телефона Сиддхарта. Этот же процесс мы видели и на телефоне Маати".

Клаудио объяснил, что эксплойт мог использовать уязвимость в iMessage или FaceTime, но у него не было достаточно доказательств, чтобы знать наверняка. Клаудио, как я успел понять, был не из тех, кто любит строить догадки. Нам с Финеасом не терпелось узнать больше. "Значит, если у вас лично будет телефон Сиддхарта, — спросил Финеас, — как это позволит вам пойти дальше, чтобы подтвердить это или получить больше информации?"

"Мы надеемся, что, получив физический доступ, сможем извлечь больше данных", — объяснил Клаудио. "Мы попытаемся сделать джейлбрейк и получить root-доступ к телефону. Резервные копии дают лишь ограниченное количество данных".

"Один вопрос", — сказал я. "Вы сказали, что у вас нет дымящегося пистолета. Так можете ли вы доказать с помощью имеющихся у вас деталей, что телефон был заражен? Но вы не можете связать это с НСО? Или все еще есть сомнения в том, что телефон был заражен?"

"Я думаю, то, что мы имеем на данный момент, достаточно убедительно, чтобы доказать, что что-то произошло, но нам нужно провести дополнительную проверку", — предостерегает Клаудио.

Он сказал нам, что мы можем попытаться связаться с бывшим или нынешним инженером Apple, который, возможно, подтвердит, что у них наблюдалось то же самое, но он не возлагал на это больших надежд. Когда Финеас предложил связаться с Apple по корпоративным каналам, Клаудио отмахнулся от него. По его словам, компания настолько обеспокоена любой оглаской, которая может запятнать ее репутацию в области безопасности, что предпочитает обструкцию прозрачности. "Если вы поговорите с представителями Apple, — сказал он нам, — они просто закроют вас почти сразу".