Volgens een Amerikaanse beveiligingsexpert is Conficker door dezelfde ontwikkelaars gemaakt die ook voor Stuxnet verantwoordelijk zijn, en had de worm als doel het infiltreren van het Iraanse nucleaire programma. Conficker verscheen eind 2008 en misbruikte een beveiligingslek in de Windows Server service om wereldwijd vele miljoenen computers te infecteren. Vorige week was het precies drie jaar geleden dat de worm verscheen, en nog altijd zijn 3,2 miljoen machines met Conficker geïnfecteerd.

Tegenover CNN laat John Bumgarner weten dat Conficker gebruikt is om backdoors op Iraanse computers te openen, om ze vervolgens met de Stuxnetworm te infecteren. "Conficker trapte de deur in", aldus Bumgarner, die voor het Amerikaanse leger werkte en nu als CTO van een Amerikaanse Cyber Consequences Unit actief is. "Het veroorzaakte een wereldwijd rookgordijn om de echte operatie te verbergen, namelijk het verspreiden van Stuxnet."

Duqu
Algemeen wordt aangenomen dat de Verenigde Staten en Israël achter Stuxnet zitten, dat ontwikkeld werd om het Iraanse nucleaire programma te ontregelen. Of de twee landen ook achter Conficker zitten wilde Bumgarner niet vertellen. Naar eigen zeggen analyseerde de voormalige inlichtingenofficier na de Stuxnet-aanval op Iran honderden malware exemplaren. De conclusie dat Stuxnet en Conficker door hetzelfde team gemaakt zijn gaat in tegen de huidige opvatting, dat Conficker het werk van Oost-Europese criminelen is.

De aanvallen tegen Iran zouden eerder zijn begonnen dan voorheen gedacht. Voor de planning werden gegevens gebruikt die in 2007 door eerdere versies van het geavanceerde Duqu-virus waren gestolen. De operatie zou echter voortijdig zijn gestopt omdat de aanvallers vanwege hun eigen slordigheid ontdekt werden.

Conficker
In november 2008 werd Conficker losgelaten, waarbij miljoenen computers besmet raakten. Toch gebeurde er niets met het botnet, maar Bumgarner merkt op dat dit een rookgordijn was. Belangrijke in Iran geïnfecteerde computers werden namelijk als doelwit apart gezet. In 2009 verscheen er een nieuwe versie van Conficker, die op 1 april de Stuxnetworm op besmette computers installeerde.

Als bewijs voor de relatie tussen de twee wormen noemt Bumgarner de complexiteit van zowel Conficker als Stuxnet. Daarnaast lag het aantal infecties van de worm veel hoger in Iran dan in de Verenigde Staten. Door verschillende data te correleren ontdekte hij dat de ontwikkeling van de wormen elkaar overlapte. De tweede fase van de aanval vond op 1 april 2009 plaats, de dertigste verjaardag van het Iraanse regime. Verder ontdekte hij twee andere verborgen signalen in de Stuxnetcode, namelijk data waar het Iraanse regime het nucleaire programma aankondigde en de verschijning van president Mahmoud Ahmadinejad op de Columbia universiteit in New York.

Cyberleger
Stuxnet verspreidde zich via USB-sticks en kon zo de centrale van Natanz infecteren. Bumgarner denkt dat eerdere versies niet zoveel schade veroorzaakten en dat de aanvallers ongeduldig werden. Daarom werd er in januari 2010 een nieuwe versie van Stuxnet gelanceerd, gevolgd door een nog krachtigere versie twee maanden later.

Deze versie veroorzaakte ook verdacht gedrag op besmette machines, waardoor anti-virusbedrijf VirusBlokAda de malware uiteindelijk ontdekte. Dat neemt niet weg dat de aanvallers nog steeds verschillende mogelijkheden hebben om toe te slaan. "Conficker vormt het grootste cyberleger in de wereld. Deze soldaten wachten gewoon op hun volgende missie", besluit Bumgarner.