Để đưa vũ khí vào nhà máy, những kẻ giấu mặt đã mở một cuộc tấn công vào máy tính thuộc sở hữu của bốn công ty liên quan đến chương trình hạt nhân Iran. Tất cả các công ty này đều tham gia vào hoạt động kiểm soát và xử lý công nghiệp theo một cách nào đó, hoặc sản xuất sản phẩm và lắp ráp các thành phần hoặc cài đặt hệ thống kiểm soát công nghiệp. Cả bốn công ty có thể đã được chọn vì họ có mối liên hệ nào đó với Natanz với tư cách là nhà thầu và vô tình trở thành một cổng để truyền Stuxnet đến Natanz.
Để đảm bảo thành công hơn trong việc đưa mã đọc đến nơi cần đến, phiên bản Stuxnet 2.0 có thêm hai cách lây lan so với phiên bản trước. Stuxnet 1.0 chỉ có thể lây lan bằng cách lây nhiễm các tệp dự án Step 7 - tức các tệp được sử dụng để lập trình PLC Siemens. Trong khi đó, phiên bản mới có thể lây lan qua ổ đĩa flash USB bằng tính năng Windows Autorun hoặc qua mạng cục bộ của nạn nhân bằng cách khai thác lỗ hổng Zero-day, mà Kaspersky Lab, công ty bảo mật máy tính có trụ sở tại Nga, và Symantec sau đó đã tìm thấy trong mã.
Dính các tệp log trong Stuxnet, một công ty có tên là Foolad Technic trở thành là nạn nhân đầu tiên. Công ty này bị nhiễm vào lúc 4h40 sáng ngày 23/6.
Một tuần sau, khoảng 5.000 người biểu tình lặng lẽ đi bộ qua các con phố của Tehran đến Nhà thờ Hồi giáo Qoba để tưởng nhớ những nạn nhân đã thiệt mạng trong các cuộc biểu tình hậu bầu cử. Vào gần nửa đêm hôm đó, khoảng 23h20, Stuxnet đã tấn công các máy móc thuộc về nạn nhân thứ hai - một công ty có tên là Behpajooh.
Việc Behpajooh trở thành mục tiêu khá dễ hiểu. Đó là một công ty kỹ thuật có trụ sở tại Esfahan - nơi có nhà máy chuyển đổi uranium mới của Iran, được xây dựng để biến quặng uranium đã nghiền thành khí để làm giàu tại Natanz, và cũng là nơi đặt Trung tâm Công nghệ Hạt nhân của Iran, được cho là cơ sở cho chương trình phát triển vũ khí hạt nhân của Iran. Behpajooh cũng đã bị nêu tên trong các tài liệu của tòa án liên bang Mỹ liên quan đến các hoạt động mua sắm bất hợp pháp của Iran.
Behpajooh kinh doanh lắp đặt và lập trình các hệ thống điều khiển và tự động hóa công nghiệp, bao gồm cả các hệ thống của Siemens. Trang web của công ty không đề cập đến Natanz, nhưng có viết rằng công ty đã lắp đặt PLC Siemens S7-400, cũng như phần mềm Step 7 và WinCC và các mô-đun truyền thông Profibus tại một nhà máy thép ở Esfahan. Tất nhiên, đây đều là những thiết bị mà Stuxnet đã nhắm đến Natanz.
Vào lúc 5h00 sáng ngày 7/7, tức 9 ngày sau khi Behpajooh bị tấn công, Stuxnet đã tấn công máy tính tại Neda Industrial Group, và một công ty được xác định với tên tắt là CGJ, có thể là "Control Gostar Jahed". Cả hai công ty đều thiết kế hoặc lắp đặt hệ thống điều khiển công nghiệp.
Neda đã thiết kế và lắp đặt hệ thống điều khiển, thiết bị đo lường chính xác và hệ thống điện cho ngành dầu khí tại Iran, cũng như cho các nhà máy điện và cơ sở khai thác và chế biến. Vào năm 2000 và 2001, công ty lắp đặt PLC Siemens S7 trong một số dự án đường ống dẫn khí tại Iran và cũng đã lắp đặt hệ thống Siemens S7 tại Khu liên hợp thép Esfahan. Giống như Behpajooh, Neda có tên trong danh sách theo dõi của chính phủ Mỹ vì bị cáo buộc tham gia vào hoạt động mua sắm bất hợp pháp.
Khoảng hai tuần sau khi Neda bị tấn công, một kỹ sư điều khiển làm việc cho công ty đã xuất hiện trên diễn đàn người dùng Siemens vào ngày 22/7 để phàn nàn về sự cố mà công nhân tại công ty anh ta gặp phải với máy móc của họ. Kỹ sư này, lấy tên user (người dùng) là Behrooz, cho biết tất cả các PC tại công ty anh ta đều gặp phải sự cố giống hệt nhau: tệp Siemens Step 7 .DLL liên tục tạo ra thông báo lỗi. Anh ta nghi ngờ sự cố là do virus lây lan qua ổ đĩa flash.
Khi Behrooz sử dụng DVD hoặc CD để chuyển tệp từ hệ thống bị nhiễm sang hệ thống sạch, mọi thứ đều ổn. Nhưng khi anh sử dụng ổ đĩa flash để chuyển tệp, PC mới lại bắt đầu mắc phải cùng sự cố với máy kia. Tất nhiên, ổ đĩa flash USB là phương pháp lây lan chính của Stuxnet. Mặc dù Behrooz và các đồng nghiệp đã quét virus, nhưng họ không tìm thấy phần mềm độc hại nào trên máy của mình.
Không rõ Stuxnet mất bao lâu để đạt được mục tiêu sau khi lây nhiễm máy móc tại Neda và các công ty khác, nhưng từ tháng 6 đến tháng 8/2009, số lượng máy ly tâm làm giàu khí uranium tại Natanz bắt đầu giảm. Không rõ đây chỉ là kết quả của phiên bản Stuxnet mới hay là những tác động còn sót lại của phiên bản trước. Đến tháng 8 năm đó, chỉ có 4.592 máy ly tâm làm giàu tại nhà máy, giảm 328 máy so với tháng 6. Đến tháng 11, con số đó đã giảm xuống còn 3.936, chênh lệch 984 trong 5 tháng. Hơn nữa, mặc dù các máy móc mới vẫn đang được lắp đặt, nhưng không có máy nào được cấp khí.
Tuy nhiên, vào thời điểm phiên bản mã sau này được tung ra, những kẻ tấn công đã mất quyền truy cập bên trong vào Natanz mà họ từng được hưởng thông qua vai trò điệp viên như ở đợt tấn công đầu tiên - hoặc có lẽ họ không còn cần đến nữa. Họ đã đưa phiên bản Stuxnet này vào Natanz bằng cách lây nhiễm cho các mục tiêu bên ngoài, và “theo chân” họ vào nhà máy. Các mục tiêu là nhân viên của năm công ty Iran - tất cả đều là nhà thầu trong lĩnh vực lắp đặt hệ thống điều khiển công nghiệp tại Natanz và các cơ sở khác ở Iran - những người đã vô tình trở thành người chuyển tiếp vũ khí kỹ thuật số.
Nhưng chiến thuật sau này lại có một nhược điểm. Những kẻ tấn công đã thêm nhiều cơ chế phát tán vào phiên bản mã này để tăng khả năng nó sẽ tiếp cận các hệ thống mục tiêu bên trong Natanz. Điều này khiến Stuxnet phát tán dữ dội ngoài tầm kiểm soát, đầu tiên là đến các khách hàng khác của năm nhà thầu, sau đó là đến hàng nghìn máy khác trên khắp thế giới, dẫn đến việc Stuxnet bị phát hiện và vạch trần vào tháng 6/2010.
Xem tiếp Kỳ cuối: Lộ tẩy