Kenkėjų veiksmai pirmiausia buvo nukreipti į valstybines organizacijas, diplomatų biurus ir ambasadas, energijos, naftos ir dujų bendroves, tyrimų organizacijas bei politinius veikėjus. Remiantis „Kaspersky Lab“ skaičiavimais, tikslinės atakos buvo vykdomos 31 pasaulio šalyje, įskaitant Artimuosius Rytus, Europą, Afriką ir Ameriką, prieš 380 aukų.
Pagrindinis atakuojančiųjų tikslas – vertingos informacijos iš užkrėstų sistemų surinkimas, įskaitant įvairius dokumentus, šifravimo raktus, VPN nustatymus, naudojamus vartotojui identifikuoti serveryje, SSH raktus, taip pat failus, naudojamus užtikrinti nuotolinę kompiuterio prieigą.
„Kelios priežastys verčia manyti, kad tai gali būti valstybės palaikoma kampanija. Pirmiausia matome itin aukštą profesionalumo lygį – grupė stebi savo infrastruktūrą, slepiasi taikydama prieigos kontrolės sistemos taisykles, visiškai ištrina įvykių žurnalo (angl. log) turinį, o prireikus sustabdo bet kokius veiksmus. Tokia savisauga nebūdinga kibernetiniams nusikaltėliams. Pagal sudėtingumo lygį „The Mask“ nustelbia „Duqu“ – galima teigti, kad šiuo metu tai sudėtingiausia tokios klasės grėsmė“, – paaiškino Costinas Raiu, „Kaspersky Lab“ globalaus tyrimo centro vadovas.
Nukentėjusieji nuo šios kampanijos gali patirti katastrofišką žalą. Kenkėjiška programinė įranga perima komunikacijos kanalus ir renka svarbiausią informaciją iš vartotojo kompiuterio. Užkrėtimą labai sunku pastebėti dėl slėpimo mechanizmų ir papildomų kibernetinio šnipinėjimo modulių. Be to, prie esamų funkcijų kenkėjai į užkrėstą kompiuterį gali atsiųsti modulių, leidžiančių atlikti bet kokius kenkėjiškus veiksmus.
Kruopščiai atlikus tyrimą paaiškėjo, kad šių programų autoriams ispanų kalba yra gimtoji – to niekada anksčiau nebuvo pastebėta tokio lygio atakose. Tyrimas parodė, kad operacija „The Mask“ aktyviai vykdyta apie penkerius metus – iki 2014 m. sausio (o kai kurie kenkėjiškos programinės įrangos pavyzdžiai buvo surinkti 2007 m.). Tyrimo metu apgavikai sustabdė savo valdomus serverius.
Vartotojų įrenginiai buvo užkrečiami siunčiant netikrus laiškus su nuorodomis į kenkėjiškus resursus. Šiuose tinklalapiuose buvo daugybė eksploitų, kurie pagal vartotojo sistemos konfigūraciją taikė įvairius kompiuterio atakų būdus. Užkrėtimo atveju kenkėjiškas tinklalapis nukreipė vartotoją į nekaltą resursą – „YouTube“ ar naujienų tinklalapį.
Svarbu paminėti, kad patys kenkėjiški tinklalapiai neužkrėtė vartotojų automatiškai tiesiogiai nukreipdami pagal vieną domeno vardą. Apgavikai saugojo eksploitus atskiruose kataloguose, kurių nuorodos buvo pateikiamos tik laiškuose, – atversdamas būtent šią nuorodą vartotojas buvo atakuojamas. Kartais šiuose tinklalapiuose apgavikai naudojo pagalbinius domenus, kad pilni adresai atrodytų tikroviškiau. Šie pagalbiniai domenai imituoja populiarių ispaniškų laikraščių skyrius, taip pat kelių tarptautinių – „The Guardian“ ir „Washington Post“.
Išsamiai su ataskaita, kurioje aprašyti darbo mechanizmai ir užkrėtimo statistika, galima susipažinti čia.