美國司法部（DOJ）當(dāng)時(shí)時(shí)間12月13日公開的法庭文件顯示，三名黑客承認(rèn)創(chuàng)建Mirai惡意軟件，并利用Mirai僵尸網(wǎng)絡(luò)對(duì)多個(gè)目標(biāo)發(fā)起DDoS攻擊。

三人分工明確創(chuàng)建Mirai

三名黑客分別為：帕拉斯-杰哈、約西亞-懷特和道爾頓-諾曼。

認(rèn)罪協(xié)議（Plea Agreement）顯示，懷特創(chuàng)建了Mirai Telnet掃描器；杰哈創(chuàng)建了Mirai僵尸網(wǎng)絡(luò)的核心基礎(chǔ)設(shè)施，并開發(fā)了這款惡意軟件的遠(yuǎn)程控制功能；諾曼開發(fā)了新漏洞利用。

美國當(dāng)局表示，針對(duì)運(yùn)行Linux操作系統(tǒng)的設(shè)備，三名黑客協(xié)作創(chuàng)建了Mirai惡意軟件，Mirai使用Telnet掃描器識(shí)別在線暴露的設(shè)備，并結(jié)合漏洞利用和默認(rèn)憑證感染不安全的設(shè)備，不斷添加到僵尸網(wǎng)絡(luò)中。

牽頭調(diào)查的美國聯(lián)邦調(diào)查局（FBI）表示，Mirai僵尸網(wǎng)絡(luò)由30萬多臺(tái)設(shè)備組成，其中大多為數(shù)字錄像機(jī)（DVR）、監(jiān)控?cái)z像頭和路由器。

Mirai于2016年8月開始行動(dòng)，當(dāng)月便被安全研究人員發(fā)現(xiàn)。

利用Mirai僵尸網(wǎng)絡(luò)，這三人在黑客論壇上宣傳Mirai僵尸網(wǎng)絡(luò)，提供DDoS租用服務(wù)。杰哈似乎還使用Mirai僵尸網(wǎng)絡(luò)企圖勒索托管公司。

這種租用服務(wù)模式增加了早期確定Mirai DDoS攻擊歸因的難度，尤其針對(duì)信息安全記者布萊恩-克雷布斯、法國托管提供商OVH、托管DNS提供商Dyn發(fā)起的DDoS攻擊。

三人利用原Mirai僵尸網(wǎng)絡(luò)發(fā)起攻擊，Mirai一時(shí)名聲大噪。針對(duì)OVH的DDoS攻擊的流量峰值高達(dá)1.1 Tbps，針對(duì)Dyn的DDoS攻擊使約26%的互聯(lián)網(wǎng)站點(diǎn)陷入癱瘓，Mirai因此“成名”

此后，杰哈使用網(wǎng)名Anna-senpai進(jìn)行操作，將Mirai的源代碼公開到網(wǎng)上，其它惡意軟件開發(fā)人員因此創(chuàng)建了大量克隆變種，例如Satori，這是目前最新的Mirai變種，12月5日已經(jīng)激活超過28萬個(gè)不同的IP。杰哈大概希望通過無數(shù)新的克隆變種將Mirai的蹤跡隱藏起來。目前Mirai僵尸網(wǎng)絡(luò)仍在繼續(xù)壯大，掃描活動(dòng)已擴(kuò)展至南美和北非國家，包括哥倫比亞、厄瓜多爾、巴拿馬、埃及和突尼斯。

法庭文件指出，這三人利用Mirai僵尸網(wǎng)絡(luò)進(jìn)行廣告點(diǎn)擊欺詐，為運(yùn)營商創(chuàng)造非法利益，部分利益最終流入杰哈、懷特和諾曼的腰包。杰哈在調(diào)查中承認(rèn)，曾于2014年11月~2016年9月對(duì)其母校羅格斯大學(xué)（Rutgers University）發(fā)起多起DDoS攻擊。