震网病毒最大的战绩就是成功入侵了伊朗的纳坦兹核工厂,潜伏在其中数年,导致工厂内数千台核浓缩离心机“无故”报废,并成功将伊朗的核武器研究计划拖长了至少2年时间。
对于震网病毒是如何入侵到纳坦兹核工厂的这一问题,外界却一直存在疑问。纳坦兹核工厂跟大部分工程设施一样,内部的控制网络跟外部互联网是完全隔离的,彻底断绝从互联网上发动的攻击。病毒根本无法从网络连接传进去,唯一可能的途径就是内部设备上的USB接口,即病毒必定是通过U盘传进工厂的。对于这一点,几乎是震网病毒研究者所公认的,而且从震网病毒特意加强的USB传播能力也能得到证实。病毒开发者拥有一座模拟工厂,在实际测试中,他们必定也早已发现,USB口才是唯一的突破口。
关于震网病毒是如何通过U盘传播进纳坦兹核工厂的,广为流传的一个说法是,美国情报部门调查了核工厂工程师的背景,发现其中一个工程师特别喜欢钓鱼。于是他们派出一个特工,伪装成钓鱼爱好者,跟那位工程师交上了朋友。两人熟悉以后,特工给工程师发送一份邮件,邮件的内容是一张被震网病毒感染的钓鱼图片,工程师一打开图片,他的私人电脑就被感染了,并且随后感染到他的U盘。后来的某一天,那个工程师在工厂内使用了一次被感染的U盘,病毒就此传进了核工厂内,一步步地感染到所有设备,并且控制了离心机的运行。
不过,也有研究者推测,不大可能是无意中掉入圈套的工程师,倒更有可能是被收买的内部人员。因为病毒版本更新比较频繁,而U盘的使用是偶尔的、不定期的,靠无意中的USB感染,不能保证新的病毒版本及时传入工厂。病毒的频繁更新非常重要,它使得每隔一段时期,故障的发作形式就会变化。