A The Mask-ot a támadók által használt eszközkészlet bonyolultsága teszi különlegessé. Ez egy kivételesen kifinomult malware-t, egy rootkitet, egy bootkitet, Mac OS X és Linux változatokat, valamint feltételezhetően Android és iOS (iPad/iPhone) verziókat tartalmaz.
A támadók fő célja érzékeny adatok összegyűjtése a megfertőzött rendszerekről. Ezek között megtalálhatók hivatali dokumentumok, különféle titkosítási kulcsok, VPN konfigurációk, SSH kulcsok (melyek egy felhasználó SSH szerveren való azonosítására szolgálnak) és RDP fájlok (a Remote Desktop Client által használatosak a fenntartott számítógéphez való automatikus csatlakozásra).
„Több ok miatt is úgy véljük, hogy ez egy ország által szponzorált kampány lehet. Először is igen magas fokú professzionalizmust érzékelünk a támadás mögött álló csoport tevékenységében. Ezek közé tartozik az infrastruktúrafelügyelet, a művelet lezárása, a kíváncsi szemek elkerülése hozzáférési szabályok révén, valamint a felülírás használata a naplófájlok törlése helyett. Mindezek együtt ezt az APT-t (fejlett állandó fenyegetést) a Duqu elé helyezik a kifinomultság tekintetében, a jelenleg tapasztalható egyik legfejlettebb fenyegetéssé téve azt,” mondta Costin Raiu, a Kaspersky Lab globális kutatási és elemző csapatának (GReAT) igazgatója. „A működési biztonság ilyen szintje nem jellemző a kiberbűnöző csoportokra.”
A Kaspersky Lab kutatói először tavaly észlelték a Careto tevékenységét, amikor azt tapasztalták, hogy kísérletek történtek egy, a vállalat termékeiben lévő, már öt éve kijavított sebezhetőség kihasználására. A kihasználó kód felismerés elleni védelemmel rendelkezett, ami felkeltette a kutatók érdeklődését, és elindult a vizsgálat.
Az áldozatok számára a Careto-val való megfertőződés katasztrofális következményekkel járhat. A Careto lehallgatja az összes kommunikációs csatornát, és összegyűjti a legtöbb létfontosságú információt az áldozat gépéről. Az észlelés kivételesen nehéz a rejtőzködő toolkit képességek, a beépített funkcionalitás és a további kiberkémkedési modulok miatt.
A Kaspersky Lab kutatási jelentése szerint a The Mask kampány célzott adathalász e-maileket használ, amelyek egy rosszindulatú webhelyre vezető linkeket tartalmaznak. A webhely több kihasználó kódot tartalmaz a látogató gépének megfertőzésére, amelyek a rendszerkonfigurációtól függően kerülnek bevetésre. A sikeres megfertőzést követően a rosszindulatú webhely átirányítja a felhasználót az e-mailben hivatkozott jóindulatú weboldalra, amely lehet egy YouTube videó vagy egy hírportál.
