Theo bản tin của FBI, một cuộc phân tích kỹ thuật phần mềm độc hại gây ra việc xóa bỏ dữ liệu cho thấy nó có liên hệ với một phần mềm độc mà FBI biết rằng, nó được phát triển tại Triều Tiên. FBI nêu ra những điểm tương đồng trong các dòng mã đặc thù, cách mã hóa thuật toán cùng những phương pháp xóa dữ liệu.
FBI còn phát hiện ra nhiều địa chỉ IP, số hiệu của một máy tính nối mạng Internet được kết hợp với những cấu trúc hạ tầng ở Triều Tiên có ghi trong mã của phần mềm tấn công Hãng phim Sony.
Những công cụ được sử dụng trong vụ tấn công Hãng phim Sony có nhiều điểm tương đồng với một vụ tấn công tin học khác xảy ra vào tháng 3/2013 nhắm vào các ngân hàng và cơ quan truyền thông của Hàn Quốc. Vụ này cũng được cho là do Triều Tiên.
Thế nhưng trang web Vox nhắc đến một điểm quan trọng: Trong thế giới hacker, tất cả đều được chia sẻ. Điều này có thể được hiểu là: Trong những vụ tấn công trước đây, giới hacker Triều Tiên có thể sử dụng một phần mềm độc đã từng được dùng ở nơi khác. Điều này làm lung lay giả thuyết chính Triều Tiên đã phát triển phần mềm tấn công Hãng phim Sony.
Đối với địa chỉ IP liên kết với các cấu trúc hạ tầng của Triều Tiên cũng thế. Những server và máy tính đó có thể được chia sẻ và sử dụng bởi nhiều hacker. Triều Tiên có thể liên kết với hạ tầng cấu trúc đó vì những lý do không liên quan gì đến cuộc tấn công Hãng phim Sony.
Tổng giám đốc Robert Graham của Công ty an ninh mạng Errata Security cũng đồng tình: "Lý do khiến cho sự cáo buộc chẳng có ý nghĩa gì là do các hacker luôn chia sẻ mã. Họ chia sẻ đủ thứ: công cụ, kỹ thuật, cấu trúc hạ tầng, hệ thống khai thác, lỗ hỗng. Nhiều nhóm khác nhau thậm chí còn chia sẻ thành viên với nhau. Thật khó tin là Triều Tiên có thể phát triển một phần mềm độc của riêng mình từ số 0".
Từ ngày 17/12, tạp chí Wired đưa ra thêm những luận điểm ngờ vực: Các hacker giỏi luôn sử dụng những địa chỉ IP giả để che giấu vết tích và để lại các manh mối giả tạo trong phần mềm. Khi hacker bị phát hiện và bắt giữ, đó là do họ có sai sót hoặc người nào đó tố cáo họ".
Chủ tịch Kurt Stammberger của Công ty Norse chuyên theo dõi những cuộc tấn công mạng còn đi xa hơn khi khẳng định rằng, đã mở cuộc điều tra riêng. Ông dựa trên việc nhóm "Những người bảo vệ hòa bình" đã không yêu cầu hủy bỏ việc công chiếu bộ phim "Cuộc phỏng vấn chết người" ngay mà đòi hỏi tiền, và hứa sẽ tiết lộ các “bí mật động trời”.
Theo những thông tin do hãng ông thu thập được, ông khẳng định đã lần theo manh mối "Lena", một nhân vật bí ẩn tự cho là có liên hệ với nhóm "Những người bảo vệ hòa bình" và đã liên lạc nhiều lần với giới truyền thông Mỹ sau vụ tấn công Hãng phim Sony. Lúc ấy nhân vật này đòi hỏi "sự bình đẳng" và lên án Giám đốc Michael Lynton của Hãng phim Sony là một tên tội phạm.
 |
| Một cảnh trong phim “Cuộc phỏng vấn chết người” được cho là nguyên nhân dẫn đến vụ tấn công mạng nhằm vào Hãng phim Sony. |
Theo Kurt Stammberger, "Lena" là một cựu nhân viên của Hãng phim Sony đã làm việc tại đấy 10 năm trước khi nghỉ việc vào tháng 5. "Người phụ nữ này ở trong vị thế lý tưởng và có kiến thức kỹ thuật cần thiết để định vị các server dễ tấn công".
Tối 22/12, 4 hệ thống Internet của Triều Tiên bị rớt mạng trong 9 giờ 31 phút. Tuy lý do của sự rớt mạng này là rất nhiều nhưng sự liên hệ với cuộc tấn công mạng nhắm vào Hãng phim Sony là đáng tin nhất, nhất là vì Tổng thống Obama đã hăm dọa sẽ đáp trả cuộc tấn công vào Hãng phim Sony. Nhưng làm sao trả đũa được đối với một mạng Internet ít nối mạng với thế giới?
Mạng Internet của Triều Tiên chỉ có 4 nút kết nối trong khi Mỹ có đến 150.000. Đó là một mạng, về khía cạnh kỹ thuật, vừa khó thâm nhập lại vừa dễ phá hoại.
Chuyên gia an ninh mạng Francois Beuze giải thích: "Tại Pháp và nói chung là ở châu Âu, chuyện rớt mạng rất khó xảy ra vì người ta dễ chuyển từ nút này sang nút khác. Khi chỉ có 4 nút, rất dễ bị tấn công. Cũng có khả năng là chính quyền Triều Tiên nhận thấy họ không thể chịu được cuộc tấn công nên đã tự ngắt mạng. Triều Tiên không an tâm về hệ thống mạng của họ, vì thế có một số trang mạng của họ nằm tại Trung Quốc".
Cuối cùng, chỉ 1 triệu người dân Triều Tiên có kết nối Internet trong tổng số 25 triệu dân, chủ yếu là qua các smartphone. Có một sự kiểm soát chặt chẽ công cụ tin học trong nước. "Vùng đệm 25km phân cách Trung Quốc và Triều Tiên được kiểm soát rất kỹ lưỡng để ngăn cản sự kết nối với mạng di động của Trung Quốc. Mọi sự vi phạm sẽ bị phạt tiền và phạt tù".
Tuy nhiên, Triều Tiên không phải là quốc gia không kết nối. Nhiều nguồn tin cho rằng, Triều Tiên “có cả một đạo quân hacker có nhiệm vụ phá hoại những trang mạng và làm gián điệp”. Nhóm này được đào tạo tại Trường Mirim College, một trung tâm huấn luyện hacker cực kỳ an ninh và bí mật. Một phần chương trình đào tạo được thực hiện tại nước ngoài.
Mới đây trung tâm này đề ra một chương trình phát triển những kỹ thuật mới. Đó là một lực lượng thừa khả năng để tấn công các công ty, đặc biệt là Sony. Và cũng có nhiều câu hỏi được đặt ra về vai trò của Trung Quốc. Tất cả các đường truyền của Triều Tiên đều đi qua Hãng China Netcom, chi nhánh của China Unicom. Do vậy, Trung Quốc là một nhân tố không thể thiếu khi nói về hệ thống Internet của Triều Tiên.
"Bốn nút kết nối đều được đặt tại Trung Quốc và kết nối qua vệ tinh cũng đi qua các vệ tinh của Trung Quốc mà Triều Tiên được phép sử dụng qua những hợp đồng thương mại giữa 2 nước. Đây là một nghịch lý nhưng thực tế đúng là như vậy. Tóm lại, hiển nhiên là Trung Quốc biết rõ ai đã làm gì trong những ngày gần đây.
