¿Cuáles son los pasos que se requieren para localizar una fuente que haya enrutado su tráfico a través de múltiples hosts zombis, que abarcan múltiples redes / operadores / naciones?
Esta es una perorata muy larga con muchas suposiciones, preguntas hipotéticas y preguntas retóricas, ninguna de las cuales explica por qué este ataque fue "rastreado" a la RPDC. Sugeriría cortar casi todo, y dejar su pregunta central, '¿Cómo se rastreó el Sony Hack y qué tan rápido?'. Todo lo demás es relleno e innecesario para responder a la pregunta. Además, es probable que nunca haya disponible una respuesta completa, ya que no toda la información relacionada con el ataque está disponible públicamente.
Dicho esto, una búsqueda rápida en Google le indicará que los paquetes relacionados con el ataque provienen de un hotel en el sureste de Asia. Aparentemente, esta es la MO de los piratas informáticos de la RPDC, y combinada con el código fuente escrito en coreano, ha llevado a las fuentes a señalar la RPDC. No sopesaré la lógica detrás de esto, ya que asumo (esperando) que hay más en estas acusaciones que solo estos dos hechos. (Bueno, esos dos y la RPDC condenan públicamente la entrevista, pero eso no está aquí ni allá).
Finalmente, para corregir sus ideas erróneas sobre el cifrado, el cifrado solo protege los datos, no impide que los usuarios vean de dónde provienen dichos datos, e incluso entonces, SSL / TLS solo cifra los datos mientras se encuentra en tránsito. Por lo tanto, si alguno de los servidores de C & C está codificado en el malware, todo lo que tomará es un análisis estático para revelar su IP.
Lea otras preguntas en las etiquetas encryption network