Tietoturvayritykset yrittivät kaataa Mirai-haittaohjelmaa pyörittävän botnetin. Yritys ei onnistunut. Sen sijaan Mirain omistajat tekivät viruksesta vielä vaarallisemman.

Miraissa oli kiinteästi sisäänrakennettu lista palvelimista, joihin virus pitää yhteyttä. Tämän yhteyden avulla hyökkääjä voi määrätä kenen kimppuun saastutetut koneet seuraavaksi käyvät. Nyt Qihoo 360:n tietoturvatutkijat löysivät Miraista variantin, jossa oli myös varakommunikointijärjestelmä.

Tämä varakeino oli DGA- eli domain generation algorithm -pohjainen, ja sen löytäminen yllätti tutkijat.

DGA-algoritmi luo lennosta domain-nimiä, jota Mirai käyttää kommunikointiin. Palvelinlistaa ei siis enää ole, eikä tutkijoilla ole keinoa selvittää etukäteen mihin osoitteeseen Mirai yrittää seuraavaksi ottaa yhteyttä. Vain Mirain luojat tietävät mitä tuloksia DGA-algoritmi antaa, ja he voivat rauhassa valmistella ja vaihtaa hallintapalvelimia ilman, että viranomaisilla on juurikaan mahdollisuutta sulkea tai jäljittää Mirain toimintaa.

Bleeping Computerin mukaan DGA-menetelmät ovat erittäin moninmutkaisia, ja niitä löytää yleensä lähinnä vain huippuluokan haittaohjelmista, kuten kybervakoiluoperaatioiden käyttämistä kyberaseista.

Mirain luojat käyttivät DGA:ta kuitenkin vain viikon. Sen jälkeen hakkerit kertoivat Bleeping Computerille vaihtavansa algoritmin vielä turvallisempiin Tor-palvelimiin. Sen jälkeen Mirain kaatamisen uskotaan olevan mahdotonta.