Stuxnet spowodował trzy główne fale ataku. Pierwszy miał miejsce 22 czerwca 2009, drugi 1 marca 2010, a trzeci 14 kwietnia 2010.
Stuxnet: Instalacja i rozpowszechnianie
Stuxnet jest przeznaczony tylko dla komputerów z systemem operacyjnym Windows (OS) [3–6]. Oznacza to, że Stuxnet kończy pracę, jeśli komputer ma inny system operacyjny. Ponieważ większość systemów sterowania procesami (PCS) korzysta z systemu operacyjnego Windows, wpływ Stuxneta może być katastrofalny w przyszłych falach ataków. Zgłoszone infekcje Stuxneta, które spowodowały wyżej wspomniane fale ataków, prawdopodobnie miały miejsce za pośrednictwem wymiennych urządzeń pamięci masowej, takich jak dyski USB, ponieważ wiele sterowników PLC, których dotyczy problem, było kontrolowanych przez komputery z systemem Windows, które zazwyczaj nie są połączone z Internetem. Gdy Stuxnet zainfekuje jeden komputer z systemem Windows w organizacji, rozprzestrzenia się, wyszukując i infekując Field PG (wytrzymałe laptopy SIMATIC, które są używane do celów przemysłowych). Po zainfekowaniu Field PG, Stuxnet próbuje przejąć kontrolę nad PCS. Stuxnet wymaga następujących informacji o dostępie do klucza lub autoryzacji w celu kontrolowania PCS: (1) hasła dostępu do PCS, (2) podpisy cyfrowe dla sterowników oraz (3) projekt dokumentacji systemu ofiary. Po pierwsze, Stuxnet używa domyślnych haseł firmy Siemens, aby uzyskać dostęp do systemów, w których działają programy WinCC i PCS-7 po zakończeniu instalacji na komputerze Field PG z systemem Windows. WinCC to system interfejsu człowiek-maszyna, a PCS-7 to PCS [7]. Po drugie, złośliwe pliki binarne osoby atakującej zawierały pliki sterowników, które należy podpisać cyfrowo, aby uniknąć podejrzeń, wykrycia lub zapobieżenia instalacji plików binarnych. Wreszcie, aby przeprogramować ICS, Stuxnet potrzebuje schematu projektowego ICS. Na dzień dzisiejszy pozostaje tajemnicą, w jaki sposób Stuxnet zebrał schematy projektowe układów ICS ofiary. Zakłada się, że dokumenty projektowe ICS mogły zostać dostarczone przez osoby z wewnątrz firmy lub skradzione firmie w wyniku szpiegostwa. Nie jest jasne, czy szczegóły projektu ICS były już dostępne we wcześniejszej wersji Stuxneta. Taka dostępność informacji projektowych ICS pokazuje zdolność projektantów Stuxneta do przygotowywania i gromadzenia bardzo wyrafinowanych i głęboko ukierunkowanych ataków. Gdy Stuxnet rozprzestrzeni się na komputer ofiary podłączony do ICS, rozpoczyna swoje działanie, które można podzielić na trzy fazy. W pierwszej fazie Stuxnet wykrywa komputer Siemens PCS, który uruchamia proces PCS-7 i gromadzi całą konfigurację i informacje projektowe dotyczące ofiary.
W drugiej fazie przekazuje zebrane informacje o konfiguracji i projekcie do zdalnego serwera dowodzenia (CCS) utrzymywanego przez sprawców ataku. W ostatniej fazie Stuxnet wchodzi w interakcję z PCS ofiary i przeprogramowuje go w oparciu o instrukcje CCS. Równolegle do powyższych trzech faz, Stuxnet przeszukuje lokalną sieć pod kątem dodatkowych ofiar i powtarza wyżej wspomniane rozprzestrzenianie i trójfazowe działania operacyjne.