Мирай (вредоносное ПО)

Вредоносное ПО, превращающее компьютерные системы под управлением Linux в дистанционно управляемых «ботов».

Mirai (от японского слова «будущее», 未来) — это вредоносное ПО , которое превращает сетевые устройства под управлением Linux в дистанционно управляемых ботов , которые можно использовать как часть ботнета при крупномасштабных сетевых атаках. В первую очередь он нацелен на потребительские онлайн-устройства, такие как IP-камеры и домашние маршрутизаторы . ^[1] Ботнет Mirai был впервые обнаружен в августе 2016 года ^[2] MalwareMustDie , ^[3] белой исследовательской группой по вредоносному ПО, и использовался в некоторых из крупнейших и наиболее разрушительных распределенных атак типа «отказ в обслуживании» (DDoS) , в том числе атака 20 сентября 2016 года ^[4] на сайт журналиста по компьютерной безопасности Брайана Кребса , атака на французский веб-хостинг OVH , ^[5] и кибератака Dyn в октябре 2016 года . ^{[6] [7]} Согласно журналу чата между Анной-семпай (автором вредоносного ПО) и Робертом Коэльо, Мирай была названа в честь аниме- сериала 2011 года «Мирай Никки» . ^[8]

Программное обеспечение изначально использовалось создателями для DDoS -серверов Minecraft и компаниями, предлагающими DDoS-защиту для серверов Minecraft , а авторы использовали Mirai для рэкета . ^[9] Исходный код Mirai впоследствии был опубликован на Hack Forums как открытый исходный код . ^[10] После публикации исходного кода эти методы были адаптированы для других вредоносных проектов. ^{[11] [12]}

Вредоносное ПО

Устройства, зараженные Mirai, постоянно сканируют Интернет на предмет IP-адресов устройств Интернета вещей (IoT). Mirai включает таблицу диапазонов IP-адресов, которые он не заразит, включая частные сети и адреса, выделенные Почтовой службе США и Министерству обороны . ^[13]

Затем Mirai идентифицирует уязвимые устройства IoT, используя таблицу, содержащую более 60 распространенных заводских имен пользователей и паролей, и входит в них, чтобы заразить их вредоносным ПО Mirai. ^{[5] [14] [15]} Зараженные устройства продолжат работать нормально, за исключением периодической медлительности, ^[14] и повышенного использования полосы пропускания . Устройство остается зараженным до тех пор, пока оно не будет перезагрузлено , что может включать простое выключение устройства и его повторное включение после небольшого ожидания. После перезагрузки, если пароль для входа не будет изменен немедленно, устройство будет повторно заражено в течение нескольких минут. ^[14] При заражении Mirai определит любое «конкурирующее» вредоносное ПО, удалит его из памяти и заблокирует порты удаленного администрирования. ^[16]

Устройства IoT-жертвы идентифицируются путем «сначала входа в фазу быстрого сканирования, во время которой они асинхронно и «без сохранения состояния» отправляют зонды TCP SYN на псевдослучайные адреса IPv4, исключая те, которые находятся в жестко закодированном черном списке IP, на TCP-портах 23 и 2323 Telnet ». ^[17] Если устройство Интернета вещей отвечает на запрос, атака переходит в фазу грубого входа в систему. На этом этапе злоумышленник пытается установить соединение telnet, используя заранее определенные пары имени пользователя и пароля из списка учетных данных. Большинство этих учетных записей представляют собой имена пользователей и пароли по умолчанию, предоставленные поставщиком Интернета вещей. Если устройство IoT разрешает доступ через Telnet, IP-адрес жертвы вместе с успешно использованными учетными данными отправляется на сервер сбора данных.

Существует большое количество устройств Интернета вещей, которые используют настройки по умолчанию, что делает их уязвимыми для заражения. После заражения устройство будет отслеживать сервер управления и контроля , который указывает цель атаки. ^[14] Причиной использования большого количества устройств IoT является обход некоторого анти-DoS-программного обеспечения , которое отслеживает IP-адрес входящих запросов и фильтрует или устанавливает блокировку, если оно обнаруживает аномальный шаблон трафика, например, если слишком много запросов поступает с определенного IP-адреса. Другие причины включают в себя возможность использовать большую полосу пропускания, чем преступник может собрать в одиночку, и избежать отслеживания.

^Угроза Mirai как устройствам Интернета вещей (IoT ^{) не была остановлена ​​после ареста} участников . Некоторые полагают, что другие злоумышленники используют исходный код вредоносного ПО Mirai на GitHub для развития Mirai в новые варианты . Они предполагают, что цель состоит в том, чтобы расширить свой ботнет -узел до большего количества устройств IoT. Подробности недавнего прогресса этих вариантов перечислены в следующих параграфах.

12 декабря 2017 года исследователи обнаружили вариант Mirai, использующий уязвимость нулевого дня в маршрутизаторах Huawei HG532 для ускорения заражения ботнетами Mirai , ^[18] реализовав два известных эксплойта, связанных с SOAP, в веб-интерфейсе маршрутизаторов: CVE-2014–8361 и CVE-2017. –17215. Эта версия Мирай называется «Сатори».

14 января 2018 года был обнаружен новый вариант Mirai, получивший название «Okiru», что по-японски означает «вставать», уже нацеленный на популярные встроенные процессоры, такие как ARM, MIPS, x86, PowerPC ^[19] и другие, предназначенные для устройств Linux на базе процессоров ARC . ^[20] впервые. Процессор Argonaut RISC Core (сокращенно: процессоры ARC ) — второй по популярности встроенный 32-разрядный процессор, поставляемый в более чем 1,5 миллиарда продуктов в год, включая настольные компьютеры, серверы, радиоприемники, камеры, мобильные устройства, счетчики коммунальных услуг, телевизоры, флэш-память. приводы, автомобили, сетевые устройства (умные концентраторы, ТВ-модемы, маршрутизаторы, Wi-Fi) и Интернет вещей. Лишь относительно небольшое количество устройств на базе ARC работают под управлением Linux и поэтому подвержены воздействию Mirai.

18 января 2018 года сообщалось, что преемник Mirai предназначен для перехвата операций по добыче криптовалюты . ^[21]

26 января 2018 года было сообщено о двух аналогичных вариантах ботнетов Mirai, более модифицированная версия которых использует эксплойт маршрутизатора EDB 38722 D-Link для привлечения дополнительных уязвимых устройств IoT. Уязвимость в протоколе администрирования домашней сети (HNAP) маршрутизатора используется для создания вредоносного запроса к эксплуатируемым маршрутизаторам, которые могут обходить аутентификацию, чтобы затем вызвать произвольное удаленное выполнение кода. Менее модифицированная версия Мирай называется «Масута» (от японской транслитерации слова «Мастер»), а более модифицированная версия называется «ЧистаяМасута». ^[22]

В марте 2018 года появился новый вариант Mirai, получивший название «OMG», с добавленными конфигурациями для нацеливания на уязвимые устройства IoT и превращения их в прокси-серверы. В код Mirai были добавлены новые правила брандмауэра, которые позволяют трафику проходить через сгенерированные порты HTTP и SOCKS. Как только эти порты будут открыты для трафика, OMG устанавливает 3proxy — программное обеспечение с открытым исходным кодом, доступное на российском веб-сайте. ^[23]

В период с мая по июнь 2018 года появился еще один вариант Mirai, получивший название «Wicked», с дополнительными конфигурациями для борьбы как минимум с тремя дополнительными эксплойтами, включая те, которые затрагивают маршрутизаторы Netgear и видеорегистраторы видеонаблюдения. Wicked сканирует порты 8080, 8443, 80 и 81 и пытается обнаружить уязвимые, неисправленные устройства IoT, работающие на этих портах. Исследователи подозревают, что один и тот же автор создал ботнеты Wicked, Sora, Owari и Omni. ^{[24] [25]}

В начале июля 2018 года сообщалось, что было обнаружено по меньшей мере тринадцать версий вредоносного ПО Mirai, активно заражающих Интернет вещей Linux (IoT) в Интернете, и три из них были разработаны для устранения конкретных уязвимостей с использованием доказательства концепции эксплойта без запуска грубого подхода. -принудительная атака на аутентификацию учетных данных по умолчанию. ^[26] В том же месяце был опубликован отчет о кампании заражения вредоносным ПО Mirai на устройства Android через Android Debug Bridge по TCP/5555, дополнительной функции операционной системы Android, хотя было обнаружено, что эта функция, по-видимому, включено на некоторых телефонах Android. ^[27]

В конце 2018 года вариант Mirai, получивший название «Miori», начал распространяться через уязвимость удаленного выполнения кода в среде ThinkPHP, затрагивая версии с 5.0.23 по 5.1.31. Эта уязвимость постоянно используется более развитыми вариантами Mirai, получившими название «Hakai» и «Yowai» в январе 2019 года, а также вариантом «SpeakUp» в феврале 2019 года. ^[28]

Использование в DDoS-атаках

Mirai использовался вместе с BASHLITE [ ^29] в DDoS-атаке 20 сентября 2016 года на сайт Krebs on Security , скорость которой достигла 620 Гбит/с. ^[30] Ars Technica также сообщила об атаке со скоростью 1 Тбит/с на французский веб-хостинг OVH . ^[5]

21 октября 2016 года произошло несколько крупных DDoS-атак на службы DNS поставщика услуг DNS Dyn с использованием вредоносного ПО Mirai, установленного на большом количестве устройств Интернета вещей , многие из которых все еще использовали свои имена пользователей и пароли по умолчанию. ^[31] Эти атаки привели к недоступности нескольких громких веб-сайтов, включая GitHub , Twitter , Reddit , Netflix , Airbnb и многих других. ^[32] О том, что атака Dyn была связана с ботнетом Mirai, первоначально сообщила компания Level 3 Communications. ^{[29] [33]}

Позже выяснилось, что Mirai использовался во время DDoS-атак на Университет Рутгерса в 2014–2016 годах, в результате которых преподаватели и студенты кампуса не могли получить доступ к внешнему Интернету в течение нескольких дней. Кроме того, из-за сбоя центральной службы аутентификации университета регистрация на курсы и другие услуги стали недоступными в критические периоды академического семестра. Сообщается, что в ответ на эти атаки университет потратил 300 000 долларов на консультации и увеличил бюджет университета на кибербезопасность на 1 миллион долларов. Университет назвал нападения одной из причин повышения платы за обучение в 2015–2016 учебном году. ^[34] Человек под псевдонимом «exfocus» взял на себя ответственность за атаки, заявив в Reddit AMA в субреддите /r/Rutgers , что пользователь был студентом школы, а DDoS-атаки были мотивированы недовольством университетским автобусом . система . Позже тот же пользователь заявил в интервью блоггеру из Нью-Джерси, что они солгали о своей связи с университетом и что атаки финансировались анонимным клиентом. Исследователь безопасности Брайан Кребс позже заявил, что пользователь действительно был студентом Университета Рутгерса и что последнее интервью было дано в попытке отвлечь следователей. ^[8]

Сотрудники Deep Learning Security наблюдали устойчивый рост ботнетов Mirai до и после атаки 21 октября. ^[35]

Mirai также использовался при атаке на интернет-инфраструктуру Либерии в ноябре 2016 года. [ ^{36] [37] [38]} По словам эксперта по компьютерной безопасности Кевина Бомонта, атака, судя по всему, исходила от злоумышленника, который также атаковал Dyn. ^[36]

Его DDoS-атаки также были заметны в Бразилии, Тайване, Коста-Рике и Индии. ^[39]

Другие известные инциденты

В конце ноября 2016 года около 900 000 маршрутизаторов Deutsche Telekom производства Arcadyan вышли из строя из-за неудачных попыток эксплуатации TR-064 вариантом Mirai, что привело к проблемам с подключением к Интернету для пользователей этих устройств. ^{[40] [41]} Хотя TalkTalk позже исправляла свои маршрутизаторы, в маршрутизаторах TalkTalk был обнаружен новый вариант Mirai. ^[42]

По данным BBC , британец, подозреваемый в причастности к нападению, был арестован в аэропорту Лутона . ^[43]

Личность автора

17 января 2017 года журналист по компьютерной безопасности Брайан Кребс опубликовал в своем блоге статью «Кребс о безопасности», в которой раскрыл имя человека, который, по его мнению, написал вредоносное ПО. Кребс заявил, что вероятная реальная личность Анны-семпая (названной в честь Анны Нисикиномии, персонажа из Симонеты ), автора Mirai, на самом деле была американцем индийского происхождения Парас Джа, владельцем компании ProTraf Solutions, предоставляющей услуги по предотвращению DDoS-атак. студент Рутгерского университета . В обновлении оригинальной статьи Парас Джа ответил Кребсу и отрицал, что написал Мирай. ^[8] Сообщается, что ФБР допросило Джа о его причастности к кибератаке на Dyn в октябре 2016 года . ^[44] 13 декабря 2017 г. Парас Джа, Джозайя Уайт и Далтон Норман признали себя виновными в преступлениях, связанных с ботнетом Mirai. ^[45] Эта троица помогала правительству в других расследованиях в области кибербезопасности и была приговорена к испытательному сроку и общественным работам без тюремного заключения. ^[46]

29-летний Дэниел Кэй, также известный под псевдонимами «BestBuy», «Попопрет» или «Человек-паук», был обвинен в «использовании зараженной сети компьютеров, известной как ботнет Mirai, для атаки и шантажа банков Lloyds Banking Group и Barclays », согласно сообщению. в НКА. Согласно тому же отчету, он был экстрадирован из Германии в Великобританию. Кэй также признал в суде себя виновным в захвате более 900 000 маршрутизаторов сети Deutsche Telekom. ^{[47] [48]}

Позже исследователи указали на имя «Нексус Зета» как на автора новых вариантов Мирай (полученных как Окиру, Сатори, Масута и ПуреМасута), ^{[49] [50] [22]} , а 21 августа 2018 г. Американское большое жюри предъявило обвинение 20-летнему Кеннету Каррину Шучману, также известному как Nexus Zeta, в умышленной передаче программы, информации, кода и команд и в результате такого поведения в умышленном нанесении без разрешения ущерба защищенным компьютерам, говорится в предъявленном обвинительном заключении. в окружном суде США в Анкоридже , ^{[51] [52]} с последующим арестом и судом над подозреваемым. ^[53]

В популярной культуре

Альбом американского электронного музыканта и композитора Джеймса Ферраро 2018 года Four Pieces for Mirai ссылается на Mirai в своем продолжающемся повествовании.

Смотрите также

• вредоносное ПО для Linux
• Атака типа «отказ в обслуживании»
• BASHLITE – еще одно известное вредоносное ПО для Интернета вещей.
• Linux.Darlloz – еще одно известное вредоносное ПО для Интернета вещей.
• Remaiten — еще один IoT-DDoS-бот
• Linux.Wifatch
• Хадзиме
• БрикерБот

Рекомендации

1. Биггс, Джон (10 октября 2016 г.). «Хакеры опубликовали исходный код мощного DDoS-приложения под названием Mirai». ТехКранч . Архивировано из оригинала 20 октября 2016 года . Проверено 19 октября 2016 г.
2. njccic (28 декабря 2016 г.). «Мирай Ботнет». Ячейка интеграции кибербезопасности и связи штата Нью-Джерси (NJCCIC). Архивировано из оригинала 12 декабря 2016 года . Проверено 28 декабря 2016 г.
3. unixfreaxjp (31 августа 2016 г.). «MMD-0056-2016 — Linux/Mirai, как перерабатывать старый вредоносный код ELF». Вредоносное ПОMustDie . Архивировано из оригинала 5 сентября 2016 года . Проверено 31 августа 2016 г.
4. Кребс, Брайан (21 сентября 2016 г.). «KrebsOnSecurity пострадал от рекордного DDoS» . Брайан Кребс . Архивировано из оригинала 15 ноября 2016 года . Проверено 17 ноября 2016 г. .
5. Bonderud, Дуглас (4 октября 2016 г.). «Утечка вредоносного ПО Mirai повышает уровень угрозы безопасности Интернета вещей». SecurityIntelligence.com. Архивировано из оригинала 21 октября 2016 года . Проверено 20 октября 2016 г.
6. Хакетт, Роберт (3 октября 2016 г.). «Почему хакер сбросил код колоссального ботнета, уничтожающего веб-сайты». Фортуна.com . Архивировано из оригинала 22 октября 2016 года . Проверено 19 октября 2016 г.
7. Ньюман, Лили Хэй. «Что мы знаем о массовом отключении Интернета на восточном побережье в пятницу». ПРОВОДНОЙ . Архивировано из оригинала 22 октября 2016 г. Проверено 21 октября 2016 г.
8. Кребс, Брайан. «Кто такая Анна-Сэмпай, автор червя Мирай?». Кребс о безопасности . Архивировано из оригинала 22 января 2017 года . Проверено 25 января 2017 г.
9. «Ботнет Mirai был частью схемы Minecraft студента колледжа» . Проводной . ISSN  1059-1028 . Проверено 19 октября 2020 г.
10. Статт, Ник (21 октября 2016 г.). «Как сегодня армия уязвимых гаджетов разрушила сеть». Грань . Архивировано из оригинала 16 ноября 2016 года . Проверено 21 октября 2016 г.
11. Кан, Майкл (18 октября 2016 г.). «Хакеры создают больше ботнетов IoT с исходным кодом Mirai». ЭТОМИР . Архивировано из оригинала 20 октября 2016 года . Проверено 20 октября 2016 г.
12. «Ботнет IoTroop: Полное расследование - Исследование контрольной точки» . 29 октября 2017 г. Архивировано из оригинала 15 января 2018 г. Проверено 14 января 2018 г.
13. Зейфман, Игаль; Бекерман, Дима; Герцберг, Бен (10 октября 2016 г.). «Разрушение Mirai: анализ ботнетов IoT DDoS». Инкапсула . Архивировано из оригинала 21 октября 2016 года . Проверено 20 октября 2016 г.
14. Моффитт, Тайлер (10 октября 2016 г.). «Выпущен исходный код вредоносного ПО Mirai IoT». Вебрут . Архивировано из оригинала 21 октября 2016 года . Проверено 20 октября 2016 г.
15. Осборн, Чарли (17 октября 2016 г.). «Ботнет Mirai DDoS активируется и заражает шлюзы Sierra Wireless» . ЗДНет . Архивировано из оригинала 20 октября 2016 года . Проверено 20 октября 2016 г.
16. Ксандер (28 октября 2016 г.). «DDoS на Dyn. Полная история». СерверКомпаратор. Архивировано из оригинала 21 ноября 2016 года . Проверено 21 ноября 2016 г.
17. Антонакакис, М. и др.: Понимание ботнета Mirai. В: 26-й симпозиум по безопасности USENIX (USENIX Security 2017) (2017).
18. Дэн Гудин (12 декабря 2017 г.). «100-тысячный ботнет, построенный на маршрутизаторе 0-day, может нанести удар в любой момент». Арс Техника . Архивировано из оригинала 7 февраля 2018 года . Проверено 4 февраля 2018 г.
19. «Ботнет IoT: больше целей в перекрестии Окиру» . Фортинет . 25 января 2018 г. Архивировано из оригинала 23 июля 2018 г. Проверено 18 апреля 2018 г.
20. Лейден, Джон (16 января 2016 г.). «Новый вид ботнета Mirai 'Okiru' охотится за комплектом на базе ARC» . www.theregister.co.uk . Архивировано из оригинала 16 января 2018 года . Проверено 4 февраля 2016 г.
21. Уорик Эшфорд (18 января 2018 г.). «Ботнет Mirai следующего поколения нацелен на операции по добыче криптовалюты» . Компьютерный еженедельник. Архивировано из оригинала 7 февраля 2018 года . Проверено 4 февраля 2018 г.
22. Рене Миллман (26 января 2018 г.). «Создатель Сатори связан с новым вариантом Мирай Масутой». СК Медиа Великобритания. Архивировано из оригинала 7 февраля 2018 года . Проверено 4 февраля 2018 г.
23. Каталин Чимпану (27 февраля 2018 г.). «Новый вариант Mirai ориентирован на превращение устройств Интернета вещей в прокси-серверы». Пипящий компьютер. Архивировано из оригинала 27 февраля 2018 года . Проверено 27 февраля 2018 г.
24. Роммель Ховен и Кенни Янг (17 мая 2018 г.). «Злая семья ботов». Фортинет. Архивировано из оригинала 23 мая 2018 года . Проверено 17 мая 2018 г.
25. Тара Силс (21 мая 2018 г.). «Злой ботнет использует множество эксплойтов для атаки на Интернет вещей». Пост с угрозами. Архивировано из оригинала 21 мая 2018 года . Проверено 21 мая 2018 г.
26. Malwaremustdie/Unixfreaxjp (7 июля 2018 г.). «Мирай-Мирай на стене… сколько тебе сейчас?». Имгур . Проверено 7 июля 2018 г.
27. Йоханнес Б. Ульрих (10 июля 2018 г.). «Червь (Mirai?), использующий Android Debug Bridge (порт 5555/tcp)». Форумы SANS ISC InfoSec. Архивировано из оригинала 10 июля 2018 года . Проверено 11 июля 2018 г.
28. Сатнам Наранг (7 февраля 2019 г.). «Уязвимость ThinkPHP, связанная с удаленным выполнением кода, используемая для развертывания различных вредоносных программ (CVE-2018-20062)». Устойчиво. Архивировано из оригинала 6 мая 2019 года . Проверено 7 февраля 2019 г.
29. «Двойная атака ботнета Интернета вещей ощущается во всем Интернете» . 21 октября 2016 г. Архивировано из оригинала 19 мая 2017 г. Проверено 14 июня 2017 г.
30. The Economist , 8 октября 2016 г., Интернет укусов. Архивировано 6 августа 2017 г. в Wayback Machine.
31. Фрулингер, Джош (09 марта 2018 г.). «Ботнет Mirai объяснил: как устройства IoT чуть не разрушили Интернет». ЦСО онлайн . Архивировано из оригинала 24 июля 2019 г. Проверено 24 июля 2019 г.
32. «Сегодня сеть была взломана бесчисленным количеством взломанных устройств» . theregister.co.uk. 21 октября 2016 года. Архивировано из оригинала 24 октября 2016 года . Проверено 24 октября 2016 г.
33. «Вините Интернет вещей в сегодняшнем разрушении Интернета» . Материнская плата . ПОРОК. Архивировано из оригинала 24 октября 2016 года . Проверено 27 октября 2016 г.
34. «Бывший студент Рутгерса признает себя виновным в кибератаках» . Северный Джерси . Архивировано из оригинала 14 декабря 2017 г. Проверено 14 декабря 2017 г.
35. «Думаете, DDoS Mirai закончился? Это не так!». Архивировано из оригинала 27 октября 2016 г. Проверено 26 октября 2016 г.
36. МакГуган, Кара (4 ноября 2016 г.). «Беспрецедентная кибератака вывела из строя весь интернет Либерии». Телеграф . Архивировано из оригинала 21 ноября 2016 года . Проверено 21 ноября 2016 г.
37. «DDoS-атака вредоносного ПО Mirai, убивающая бизнес» в Либерии» . ПКМир. Архивировано из оригинала 22 ноября 2016 года . Проверено 21 ноября 2016 г.
38. «Массивная кибератака остановила Интернет в Либерии» . Хранитель . 3 ноября 2016 г. Архивировано из оригинала 21 ноября 2016 г. Проверено 21 ноября 2016 г.
39. Шварц, Мэтью Дж. «Вредоносное ПО Mirai все еще проводит DDoS-атаки». Bankinfosecurity.com .
40. Кребс, Брайан (30 ноября 2016 г.). «Новый червь Mirai выбил из строя 900 тысяч немцев». krebsonsecurity.com. Архивировано из оригинала 20 декабря 2016 года . Проверено 14 декабря 2016 г.
41. «Немецкие лидеры, разгневанные кибератакой, намекают на участие России | Германия | DW.COM | 29.11.2016» . Немецкая волна. Архивировано из оригинала 5 января 2017 года . Проверено 5 января 2017 г.
42. «Новый вариант Mirai встраивается в домашние маршрутизаторы TalkTalk» . www.incapsula.com . Архивировано из оригинала 22 декабря 2016 г. Проверено 18 декабря 2016 г.
43. «Подозреваемый в хакерстве маршрутизатора арестован в аэропорту Лутона» . Новости BBC . 2017-02-23. Архивировано из оригинала 24 февраля 2017 г. Проверено 23 февраля 2017 г.
44. Кларк, Адам; Мюллер, Марк (21 января 2017 г.). «ФБР расспрашивает студента Рутгерса о масштабной кибератаке» . Нью-Джерси.com . Архивировано из оригинала 23 января 2017 года . Проверено 25 января 2017 г.
45. Министерство юстиции (13 декабря 2017 г.). «Министерство юстиции объявляет обвинения и признает себя виновным по трем делам о компьютерных преступлениях, связанных с серьезными кибератаками» . Justice.gov . Архивировано из оригинала 13 декабря 2017 года . Проверено 13 декабря 2017 г.
46. Шапиро, Скотт (2023). Fancy Bear Goes Phishing: Темная история информационной эпохи в пяти необычных хаках (1-е изд.). Нью-Йорк: Фаррар, Штраус и Жиру. стр. 280–281. ISBN 978-0-374-60117-1.
47. Брайан Кребс (5 июля 2017 г.). «Кто автор GovRAT и Мирай Ботмастер Bestbuy?». Кребс о безопасности. Архивировано из оригинала 5 июля 2017 года . Проверено 5 июля 2017 г.
48. Мэтью Дж. Шварц (31 августа 2017 г.). «Злоумышленник с вредоносным ПО Mirai экстрадирован из Германии в Великобританию» . Банковская информационная безопасность. Архивировано из оригинала 31 августа 2017 года . Проверено 31 августа 2017 г.
49. Исследование Check Point (21 декабря 2017 г.). «Домашние маршрутизаторы Huawei в вербовке ботнетов». Контрольно-пропускной пункт. Архивировано из оригинала 6 февраля 2018 года . Проверено 4 февраля 2018 г.
50. Каталин Чимпану (22 декабря 2017 г.). «Хакер-любитель за ботнетом Сатори». Пипящий компьютер. Архивировано из оригинала 27 декабря 2017 года . Проверено 4 февраля 2018 г.
51. Кевин Поулсен (30 августа 2018 г.). «Новичок-хакер обнаружил ботнет-монстр» . Ежедневная газета Бааст. Архивировано из оригинала 7 августа 2019 года . Проверено 30 августа 2018 г.
52. Джессика Прокоп (4 сентября 2018 г.). «Житель Ванкувера обвинен в федеральном деле о хакерстве на Аляске» . Колумбиец. Архивировано из оригинала 5 сентября 2018 года . Проверено 4 сентября 2018 г.
53. Каталин Чимпану (28 октября 2018 г.). «Автор ботнета Satori снова в тюрьме после нарушения условий предварительного заключения» . ЗД Нет. Архивировано из оригинала 5 сентября 2019 года . Проверено 28 октября 2018 г.

дальнейшее чтение

• Гринберг, Энди (14 ноября 2023 г.). «Признания Мирай: трое молодых хакеров, создавших монстра, убивающего сеть, наконец рассказывают свою историю». Проводной .