Quali sono i passaggi necessari per individuare una fonte che ha indirizzato il loro traffico attraverso più host zombi, che si estendono su più reti / carrier / nazioni?
Questo è uno slancio molto lungo con molte supposizioni, domande ipotetiche e domande retoriche, nessuna delle quali gioca sul motivo per cui questo attacco è stato "tracciato" alla DPRK. Suggerirei di tagliare quasi tutto e lasciare la tua domanda principale, "Come è stato tracciato l'Hack di Sony e così rapidamente?". Tutto il resto è pieno e non necessario per rispondere alla domanda. Inoltre, non sarà probabilmente disponibile una risposta completa in quanto non tutte le informazioni riguardanti l'attacco sono disponibili pubblicamente.
Detto questo, una rapida ricerca su google ti dirà che i pacchetti relativi all'attacco provenivano da un hotel in Sud-est asiatico. Questo è apparentemente il MO degli hacker della RPDC, e combinato con il codice sorgente scritto in coreano, ha portato le fonti a puntare su DPRK. Non voglio valutare la logica alla base di questo, poiché sto presumendo (sperando) che ci siano più di queste accuse rispetto a questi due soli dati. (Bene, queste due e la RPDC condannano pubblicamente l'intervista, ma non è né qui né là)
Infine, per correggere le idee sbagliate sulla crittografia, la crittografia protegge solo i dati, non impedisce agli utenti di vedere da dove provengono i dati, e anche in questo caso, SSL / TLS crittografa solo i dati mentre si è in transito. Quindi se qualche server C & C è hardcoded nel malware, tutto ciò che sarebbe necessario è un'analisi statica per rivelare il loro IP.
Leggi altre domande sui tag encryption network