Platforma hakerska, której nazwa w języku tureckim to Sath-ı Müdafaa („obrona powierzchniowa”), jest szeroko reklamowana na tureckich forach hakerskich. Zachęca się innych hakerów z Turcji do dołączenia do niej i atakowania stron internetowych o treści politycznej z wykorzystaniem narzędzia Balyoz DDoS.
Zdaniem ekspertów ds. bezpieczeństwa z firmy Forcepoint tureckie oprogramowanie pracuje przez sieć TOR i wymaga nazwy użytkownika oraz hasła do zalogowania się. Potem wykorzystywane jest do zapchania łącza przez nadmierny ruch i doprowadzenia do przeciążenia strony.
Za każde 10 minut ataków użytkownik otrzymuje jeden punkt. Punkty mogą zostać wykorzystane do odbioru różnorodnych nagród, przykładowo mocniejszej wersji narzędzia Balyoz, programów do infekowania komputerów ofiar czy botów automatycznie wchodzących w reklamy.
Czytaj też: Turcja: Blokada Twittera odpowiedzią na zamach
Balyoz zawiera również ukrytą „tylną furtkę”, umożliwiając twórcy platformy dostęp do komputerów wszystkich osób wykorzystujących narzędzie do przeprowadzania ataków DDoS. Rodzi to uzasadnione podejrzenia o aktualne motywy osób, które stworzyły serwis. Razem z „tylną furtką” każdy użytkownik programu Balyoz ściąga również drugi plik – tzw. strażnika, który w przypadku wykrycia „tylnej furtki” i jej skasowania pilnuje, żeby została ściągnięta ponownie.
Lista celów przygotowanych do ataku zawiera strony Pracującej Partii Kurdystanu, kurdyjskich stron radiowych i telewizyjnych, forów kurdyjskich hakerów, stron poświęconych ludobójstwu Ormian czy domen izraelskich.
Eksperci z firmy ForcePoint podejrzewają, że twórcą forum jest osóba kryjąca się pod pseudonimem Mehmet, odpowiedzialna za prowadzenie dwóch kanałów na YouTubie, na których reklamuje się oprogramowanie Balyoz.