Νέα δεδομένα προκύπτουν από τις έρευνες πάνω στην πρόσφατη κυβερνοεπίθεση εναντίον της Νότιας Κορέας, με την Κορεατική Επιτροπή Επικοινωνιών, που είχε αναφέρει προηγουμένως πως η επίθεση είχε προέλθει από διεύθυνση ΙΡ στην Κίνα, να ανασκευάζει, ανακοινώνοντας πως έκανε λάθος.
Μέχρι τώρα, δεν έχει γίνει ακόμα γνωστή η ταυτότητα των δραστών, ωστόσο η Επιτροπή αναφέρει πως το malware προήλθε από έναν υπολογιστή σε μία από τις πληγείσες τράπεζες (Nonghyup). Παρόλα αυτά, επικρατούσα θεωρία παραμένει αυτή του ξένου σχεδιασμού και προέλευσης.
Από την κυβερνοεπίθεση της Τετάρτης επηρεάστηκαν 32.000 υπολογιστές και τραπεζικές υπηρεσίες. Οι αρχικές πληροφορίες περί κινεζικής ΙΡ ενίσχυσαν τις υποψίες για βορειοκορεατική εμπλοκή.
Σύμφωνα με την αμερικανική εταιρεία ασφαλείας Fortinet, που ασχολείται με τη διερεύνηση του συμβάντος, το πιθανότερο είναι πως πίσω από την επίθεση βρίσκεται κάποιος ξένος κρατικός φορέας. Αν και δεν έχει εξακριβωθεί ακόμα πως ακριβώς έγινε η επίθεση, εκτιμάται πως κακόβουλο λογισμικό τοποθετήθηκε σε κεντρικό υπολογιστή που παρείχε προστασία antivirus. Ερευνητές της εταιρείας που ασχολούνται με τον κώδικα του malware κάνουν λόγο για «επαγγελματικό» χαρακτήρα, λόγω της ορολογίας που χρησιμοποιείται, που υποδεικνύει κάποια κυβερνητική υπηρεσία.
Ωστόσο, εν γένει η επίθεση δεν θεωρείται ως ιδιαίτερα εξελιγμένη, καθώς τα προβλήματα που προέκυψαν δεν ήταν εν τέλει τόσο μεγάλα (οι τηλεοπτικοί σταθμοί συνέχισαν να εκπέμπουν, και τα προβλήματα στις υπηρεσίες ΑΤΜ δεν διήρκεσαν πολύ. Αυτό υποδεικνύει πως η επίθεση κατά πάσα πιθανότητα είχε κυρίως προπαγανδιστικούς σκοπούς.
Σύμφωνα με το τμήμα έρευνας της Fortinet, FortiGuard Labs, η επίθεση φαίνεται να «πυροδοτήθηκε» από μία «λογική βόμβα» (logic bomb), που καθόρισε την ημερομηνία και τη στιγμή που το malware θα ξεκινούσε τη δραστηριότητά του, αρχίζοντας τη διαγραφή δεδομένων στους στοχευμένους υπολογιστές. Το malware φέρεται να αποτελείται από τέσσερα αρχεία, ενώ περιείχε και ειδικό τμήμα για τη διαγραφή δεδομένων από απομακρυσμένα μηχανήματα με Linux.
Επίσης, η εταιρεία ασφαλείας Trend Micro αποκάλυψε πως στις 19 Μαρτίου είχε εντοπιστεί ένα phishing email, που απεστάλη σε νοτιοκορεατικούς οργανισμούς και φαινόταν να προέρχεται από τράπεζα, ενώ περιείχε συνημμένο αρχείο με Trojan. Αυτό φαίνεται να σημαίνει πως το κακόβουλο λογισμικό τοποθετήθηκε στους «στόχους» όχι πάνω από μία ημέρα πριν ενεργοποιηθεί.
Όπως αναφέρει το Wired, έχει υπάρξει κάποια σύγχυση σχετικά με την πιθανή εμπλοκή ενός γκρουπ χάκερ στην επίθεση, του αποκαλούμενου «WhoIs», εξαιτίας κάποιων πληροφοριών και screenshots σχετικά με επίθεση κατά της LG στο πλαίσιο του ευρύτερου συμβάντος. Ωστόσο, η LG αρνήθηκε ότι συνέβη κάτι τέτοιο, και δεν έχουν υπάρξει μέχρι τώρα ενδείξεις σύνδεσης μεταξύ τoυ WhoIs και της κυβερνοεπίθεσης στη Νότια Κορέα.
