"A taktika, a technika és a támadásnál alkalmazott folyamatok teljesen beleillenek a Turla akcióinak sorába. Az első fázisban alkalmazott, adathalász módszerekkel célba juttatott backdoor programot (pl. Skipper), egy második fázisú hátsó kapu program követi, ebben az esetben a Gazer." - mondta Jean-Ian Boutin, az ESET kártevőkutatója. Ahogy más hasonló program, a Turla által alkalmazott második fázisú hátsóajtó (backdoor) program - mint korábban a Carbon vagy a Kazuar -, a Gazer is kódolt utasításokat kap a támadók távoli vezérlő szerveréről (C&C, command-and-control), amelyek tetszőlegesen futtathatóak a már fertőzött számítógépen, vagy akár a hálózaton lévő más gépeken.
A Gazer alkotói kiterjedten használják egyedi titkosításukat is, saját 3DES vagy RSA könyvtárat alkalmazva. A forrásokban beágyazott RSA kulcs tartalmazza a nyilvános szerver támadók általi kulcsvezérlőjét és egy privát kulcsot.
Ezek a kulcsok minden egyes mintában egyediek, és a C&C szervernek elküldött, vagy onnan fogadott adatok titkosítására és dekódolására használják őket. A Turla csoport virtuális fájlrendszereket is alkalmaz a Windows registry kulcsokban, hogy megkerülje az antivírus programokat és tovább támadhassa a rendszert.
A Turla ügyesen kerüli el az észlelést. A kártevő készítői először is fájlokat törölnek a feltört rendszerből, majd megváltoztatják a karakterláncot és a backdoor programok segítségével randomizálják az általuk felhasznált marquee (HTML) elemeket.
Ebben a legújabb esetben, a Gazer írói megváltoztatták a sima marquee elemeket és videójátékokból emeltek be olyan sorokat, mint a "Csak egy játékos engedélyezett".
Az ESET szakembereinek felfedezése ezekkel az egyedi, korábban még nem dokumentált hátsó ajtó programokkal kapcsolatban komoly lépés a megoldás irányába a kiberkémkedések egyre nagyobb problémát jelentő világában.
