Dans son édition du week-end, le New York Times révèle que la NSA, l'Agence nationale de sécurité (NSA) américaine, qui espionne secrètement les réseaux nord-coréens depuis des années, avait bien détecté les prémices d'une attaque contre Sony Pictures Entertainment, mais ce n'est que rétrospectivement qu'elle a compris sa portée et son ampleur. Citant d'anciens responsables américains et étrangers et s'appuyant sur un document secret de la NSA récemment publié par le journal allemand Der Spiegel, le NYT rapporte que depuis au moins quatre ans, l'agence s'emploie à infiltrer les réseaux de la Corée du Nord, de la Chine et de la Malaisie avec l'aide de pirates locaux. Ces révélations expliquent en partie pourquoi les États-Unis ont pu rapidement accuser la Corée du Nord d'être à l'origine de ces attaques alors que la communauté de la sécurité informatique restait très sceptique à ce sujet, estimant que seule une preuve circonstancielle pointait l'implication de ce pays.
Citant une personne proche de l'enquête, le Times indique que les pirates ont été « particulièrement prudents, et patients ». Dans l'attaque contre Sony, des téraoctets de documents sensibles ont été volés, dont un document récapitulant les salaires de 6000 employés, des e-mails internes, des copies de films inédits et une énorme quantité de données personnelles. L'attaque a aussi mis des milliers d'ordinateurs de Sony hors d'état, l'un des malwares utilisé par les pirates ayant détruit des milliers de fichiers. Un groupe se faisant appeler les Gardiens de la Paix (The Guardians of Peace) a revendiqué ces attaques. Pour preuve, ils ont mis en ligne quelques données sur des sites de partage de fichiers et ont envoyé à la presse des liens pour accéder directement à ces documents. Dans un premier temps, on a cru que le groupe voulait faire chanter Sony. Ce n'est que plus tard que le lien avec la Corée du Nord s'est précisé. Le pays voulait protester contre la sortie du film « L'interview qui tue » produit par Sony Pictures, une comédie invraisemblable dans laquelle deux animateurs de la télévision américaine projettent d'assassiner le dirigeant nord-coréen Kim Jong Un.
Le réseau informatique de Sony infiltré depuis plus de 2 mois
Mi-décembre, les États-Unis ont officiellement accusé la Corée du Nord d'être à l'origine de l'attaque, sans donner davantage d'éléments de preuve. Le 2 janvier, le président Barack Obama a autorisé d'autres sanctions contre la Corée du Nord, en plus de celles appliquées depuis des années contre ce pays. C'est la deuxième fois que les États-Unis accusent directement un autre pays de mener des cyberattaques. En mai 2014, des procureurs fédéraux ont, pour la première fois, lancé une action en justice contre cinq membres de l'armée chinoise, les accusant d'avoir volé des secrets commerciaux à des entreprises américaines pendant huit ans. La Chine avait nié ces accusations.
Le 7 janvier, le directeur du FBI, James Comey, a donné plus d'éléments sur les attaques de Sony, affirmant que les pirates avaient omis de masquer leurs adresses IP, et certains emails envoyés par les pirates aux employés de Sony indiquaient que les connexions Internet se faisaient depuis la Corée du Nord. « La campagne de phishing ciblant les employés de Sony avait été repérée par la NSA au début du mois de septembre, mais ces attaques ne semblaient pas inhabituelles », rapporte le Times. En général, ces campagnes ont pour but d'inciter les gens à ouvrir des pièces jointes malveillantes pour installer des malwares ou à faire remonter des informations de connexion qui seront utilisées pour de futures attaques. Ce n'est que plus tard que la NSA a compris que la Corée du Nord avait volé les identifiants d'un compte administrateur donnant accès aux réseaux de Sony. « Aujourd'hui, les enquêteurs pensent que les pirates ont infiltré le réseau de Sony pendant plus de deux mois, cartographiant ses systèmes, identifiant les fichiers critiques et planifiant la destruction des ordinateurs », rapporte encore le New York Times.