Voordat de geraffineerde Stuxnetworm de Iraanse uraniumverrijkingscentrale in Natanz infecteerde werden eerst vijf Iraanse bedrijven besmet, wat aangeeft dat de malware niet uit Natanz ontsnapte, maar hier juist via deze andere organisaties terechtkwam, zo laten anti-virusbedrijven Symantec en Kaspersky Lab weten. Stuxnet wordt als één van de meest complexe malware ooit gemaakt beschouwd. Onderzoekers van Kaspersky vergelijken het zelfs met de atoombommen die de VS in 1945 op Hiroshima en Nagasaki liet vallen.

Hoewel het exacte doel van de worm nog altijd niet bekend is, gaan experts ervan uit dat Stuxnet de centrifuges in uraniumverrijkingscentrale probeerde te saboteren. Sinds de worm vier jaar geleden werd ontdekt is er veel over de werking van Stuxnet geschreven. Zo werd bekend dat de worm eerst vijf andere organisaties had geïnfecteerd voordat de computers van de centrale in Natanz besmet raakten.

Deze informatie kon worden achterhaald door een bijzondere feature van de worm. Bij het infecteren van een computer bewaart Stuxnet informatie over de systeemnaam, IP-adres en Windows domeinnaam van de besmette computer. Deze gegevens worden in het interne logbestand opgeslagen en voorzien van nieuwe data bij de infectie van het volgende slachtoffer. Zodoende is het mogelijk om aan de hand van Stuxnet-exemplaren te zien op welke manier de worm zich verspreidde en bij welke computer de infectie begon.

'Patient zero'

Het was anti-virusbedrijf Symantec dat de eerste vijf aangevallen bedrijven ontdekte, maar maakte de namen niet bekend. Volgens het Russische anti-virusbedrijf Kaspersky Lab is deze informatie essentieel om te weten hoe de worm zich precies verspreidde. De eerste infectie dateert van 22 juni 2009 en vond plaats bij het Iraanse bedrijf Foolad Technic Engineering Co. Een bedrijf dat geautomatiseerde systemen voor de Iraanse industrie ontwikkelt. Opmerkelijk aan deze variant is dat de malware op 22 juni 2009 werd gemaakt en slechts een paar uur later de eerste computer infecteerde. Daardoor is een infectie via USB-stick volgens de onderzoekers uitgesloten.

Het tweede bedrijf dat Kaspersky Lab ontdekte was drie keer het doelwit van Stuxnet, waaronder met de tweede Stuxnet-variant die zich in 2010 wereldwijd wist te verspreiden. Dit bedrijf, Behpajooh, wordt door de onderzoekers als 'patient zero' aangeduid. De malware op de systemen van Behpajooh wist het netwerk van een ander bedrijf te infecteren, naar alle waarschijnlijkheid dat van de grootste staalproducent in Iran. Zodoende ontstond er een kettingreactie van infecties waarbij de worm in een paar maanden tijd duizenden computers over de hele wereld infecteerde.

Volgens de onderzoekers was de massale verspreiding van Stuxnet onbedoeld. "Vanwege fouten in het ontwerp begon Stuxnet andere organisaties te infecteren en zich via het internet te verspreiden. De aanvallers verloren de controle over de worm, die naast de bedoelde systemen honderdduizenden computers infecteerde." Een ander onderbelicht punt van Stuxnet is dat één van de lekken die de makers gebruikten om Iraanse systemen mee aan te vallen uiteindelijk op zeer grote schaal door cybercriminelen werd ingezet om computers met malware te infecteren.