K útoku se přihlásila skupina „Guardians of Peace“ (GOP), která je dle důkazů FBI přímo financována severokorejskou komunistickou vládou. To samozřejmě Pchjongjang odmítá, byť tyto kroky sympatizantů dle svých slov neodsuzuje, přesto nabídl pomoc při vyšetřování. Navzdory názoru FBI, společnosti Sony a médií se většina odborníků nedomnívá, že za útokem stála Severní Korea. Předložené důkazy jsou totiž velice pofiderní a snadno zfalšovatelné.

Původ útoku byl stopován až do pětihvězdičkového hotelu St. Regis v Bangkoku (Thajsko), jeden z e-mailů odkazující na malware byl ovšem odeslán ze severokorejské IP. Severní Korea je do internetu připojena jediným kabelem z Čínského Telekomu, má tak celkem 1 280 IP adres, přičemž přístup na síť je vyhrazen pouze určité skupině obyvatelstva. KLDR se netají tím, že disponuje skupinou bezmála šesti tisíc vycvičených hackerů působících i v zahraničí, těžko ale uvěřit, že by útočníci stojící za sofistikovaným útokem na Sony nepoužili proxy server ke skrytí své identity. Samotný malware pojmenovaný Destover byl zkompilován na operačním systému s korejskou klávesnicí a prostředím. I tuto kombinaci ovšem není problém nastavit kdekoliv na světě, nemluvě o tom, že tradiční korejština užitá v kódu je v KLDR zakázána, používá se vlastní dialekt. Jako důvod útoku se nabízí komedie The Interview pojednávající o atentátu na současného vůdce KLDR Kim Jong Una, tento fakt se ovšem ve vyjádření skupiny GOP objevil teprve poté, co jej začala propírat světová média, v původním vyjádření hackerů o něm nebyla jediná zmínka. V rámci vyšetřování proběhla rovněž analýza NLI (Native Language Identification), při které se zkoumala podobnost vyjádření útočníků s typickými obraty a chybami v angličtině psané Korejci, Rusy, Číňany a Němci. Největší shoda byla nalezena s  ruskou angličtinou, částečná s korejskou a téměř žádná s čínskou a  německou.

Zatímco přístup Sony ukazující na KLDR je logický, neboť lepší reklamu pro film The Interview si přát nemohla, lpění FBI na pofiderních důkazech vzbuzuje podezření. Důvěru veřejnosti podkopaly již dříve podobně vykonstruované důkazy o zbraních hromadného ničení v  Iráku. Odborníci se přiklánějí spíše k variantě, že za útokem stála nevládní skupina útočníků, případně někdo z bývalých zaměstnanců společnosti Sony. Druhou, byť méně pravděpodobnou hypotézu podporují metainformace odcizených souborů, které naznačují, že data byla uložena rychlostí typickou pro USB 2.0. K tomu mohlo ovšem dojít až později při vytváření kopií. Komedie The Interview, kterou lze dnes shlédnout za poplatek i na Internetu, s největší pravděpodobností důvodem odcizení dat nebyla. Stejně jako v případě většiny útoků skupiny Anonymous, pravděpodobně i útočníci z řad GOP zůstali věrni přísloví „Kdo chce psa bít, hůl si vždy najde“ a tento důvod dodali do svých prohlášení až posléze.

Ještě do konce roku došlo k odvetnému útoku, při kterém byl paralyzován internet v Severní Koreji. Navzdory faktu, že DDoS útok trval několik dní, síť se podařilo vyřadit pouze asi na 10 hodin. Konspirační teoretici takřka okamžitě obvinili z odstavení služeb Spojené státy, přestože za útokem opět pravděpodobně stálo některé z  nevládních uskupení hackerů typu Anonymous. Díky omezenému připojení KLDR podobající se konektivitě středně velké evropské korporace ji totiž mohou odpojit od sítě i zkušení jednotlivci, ne nutně suverénní stát.

Ing. Martin Klubal Autor článku působí jako IT Security Consultant ve společnosti AEC, spol. s r.o.