С распространением обновления iOS 26 специалисты по кибербезопасности обнаружили тревожное изменение в работе операционной системы: файл shutdown.log теперь перезаписывается при каждой перезагрузке устройства, что приводит к необратимому удалению следов инфицирования продвинутым шпионским ПО Pegasus и Predator. Это нововведение создает серьезные препятствия для цифровой криминалистики и частных пользователей, пытающихся выявить компрометацию своих устройств на фоне учащающихся атак с применением шпионского ПО.
Файл shutdown.log годами оставался ценным, хотя и недооцененным инструментом обнаружения iOS malware (вредоносного ПО). Расположенный в разделе Sysdiagnose (Системная диагностика) системных логов (точный путь: Sysdiagnose Folder -> system_logs.logarchive -> Extra -> shutdown.log), он фиксировал процессы, происходящие на устройстве даже во время завершения работы. В 2021 году исследователи обнаружили, что публично известная версия Pegasus оставляет в этом файле отчетливые следы, служившие критически важными indicators of compromise (IOC, индикаторами компрометации). Однако разработчики из NSO Group постоянно совершенствуют свои методы, и к 2022 году шпионское ПО эволюционировало.
Новые версии Pegasus перешли к более изощренной тактике: вместо оставления явных записей они начали полностью очищать shutdown.log. Парадоксально, даже такая маскировка оставляла косвенные улики - сам факт очистки файла, содержавшего ранее следы Pegasus, становился индикатором компрометации. Многочисленные случаи такого поведения фиксировались до конца 2022 года, демонстрируя постоянную адаптацию злоумышленников. В последующий период разработчики, вероятно, внедрили еще более надежные механизмы очистки, мониторя завершение работы устройства для гарантированного удаления следов своего присутствия. Исследователи отмечали случаи, когда на заведомо инфицированных устройствах файл shutdown.log оказывался очищенным при наличии других IOC, что позволило считать очистку файла эвристическим признаком подозрительной активности.
Продвинутое шпионское ПО Predator, обнаруженное в 2023 году, продемонстрировало схожие черты. Учитывая, что Predator активно мониторил shutdown.log, и принимая во внимание аналогичное поведение ранних образцов Pegasus, высока вероятность, что эта программа также оставляла следы в данном файле. Изменение в iOS 26, будь то преднамеренное решение Apple или непредвиденная ошибка, радикально меняет ситуацию. Теперь при каждой перезагрузке устройства происходит перезапись shutdown.log, а не добавление новых записей с сохранением предыдущих снимков состояния. Это означает, что любой пользователь, обновившийся до iOS 26 и перезагрузивший устройство, невольно уничтожает все следы возможного заражения Pegasus и Predator, которые могли сохраняться в логах.
Автоматическая перезапись, потенциально направленная на оптимизацию работы системы, фактически санирует ключевой forensic artifact (криминалистический артефакт), игравший важнейшую роль в идентификации сложных угроз. Время этого изменения нельзя назвать неудачным - атаки с использованием шпионского ПО регулярно попадают в заголовки новостей, причем целевыми жертвами становятся не только активисты, но и топ-менеджеры крупных компаний и публичные личности.
Для пользователей, остающихся на версиях iOS до 26-й, сохраняет актуальность специфический индикатор компрометации Pegasus образца 2022 года - наличие в shutdown.log записи, соответствующей пути /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking. Этот IOC также выявил стратегический сдвиг в тактике NSO Group: злоумышленники начали использовать имена стандартных системных процессов вместо легко идентифицируемых поддельных наименований, что значительно усложнило обнаружение вредоносной активности.
На устройствах под управлением iOS 18 и более ранних версий эффективным методом выявления аномалий была корреляция записей контейнерменеджер логов с событиями в shutdown.log. Логи контейнерменеджер, хранящие данные о событиях загрузки в течение нескольких недель, позволяли выявлять несоответствия. Например, множественные события загрузки, предшествующие записям в shutdown.log, указывали на возможное вмешательство и сокрытие следов взлома.
В свете описанных изменений эксперты рекомендуют пользователям предпринять упреждающие действия. Перед обновлением до iOS 26 необходимо немедленно создать и сохранить системной диагностики текущего состояния устройства - это позволит сохранить актуальную копию shutdown.log со всеми потенциальными следами компрометации. Целесообразно рассмотреть возможность отсрочки обновления до тех пор, пока Apple не устранит проблему, в идеале - выпустив исправление, предотвращающее перезапись файла shutdown.log при загрузке. Осведомленность и проактивные меры становятся критически важными в условиях, когда технические изменения невольно усложняют борьбу с цифровыми угрозами.
