Die Crutch-Kampagne war offenbar auf sehr spezifische Ziele zugeschnitten und darauf ausgereichtet, vor allem sensible Dokumente zu erbeuten. Welches Außenministerium genau betroffen war, haben die Sicherheitsforscher von ESET nicht veröffentlicht, daher ist nur bekannt, dass es sich um ein Land der Europäischen Union handelt. Bevor Crutch zum Einsatz kam, erfolgte den Analysen zufolge bereits eine Infektion mit einer anderen Malware. Das geschah vermutlich mittels Spearphishing-Angriff, also einer ganz gezielten Phishing-Kampagne. Erst im zweiten Schritt wurde Crutch nachgeladen. Seither kommuniziert die Malware mit einem codierten Konto beim Filehosting-Dienst Dropbox und lädt darüber regelmäßig sensible Daten herunter. Dieses Vorgehen ist überaus geschickt, da die Verbindung mit dem Dropbox-Konto im normalen Datenverkehr untergeht und dadurch unter dem Radar bleibt. Außerdem ergab die Untersuchung, dass der Angriff durch wiederverwendete Administratoren-Passwörter begünstigt wurde.
Weitere Analysen haben außerdem gezeigt, dass Crutch im Laufe der Jahre immer wieder aktualisiert und angepasst wurde, um weiter effektiv laufen zu können und die Tarnung aufrecht zu erhalten. Weiterhin betonen die Sicherheitsforscher, dass die Hintermänner der Kampagne offenbar über beträchtliche Ressourcen verfügen. Das stärkt auch die Einschätzung von ESET, dass hinter Crutch die russische Hackergruppe Turla steckt. Diese zeichnete sich bereits für ähnliche Angriffe verantwortlich. Bei Gazer etwa handelte es sich ebenfalls um einen Backdoor-Angriff, der Konsulate und Botschaften weltweit ins Visier nahm. Darüber hinaus fanden die Sicherheitsforscher heraus, dass die Arbeitszeiten der Macher offenbar genau zur Zeitzone UTC+3 passen, also der Zone, in der Moskau liegt.
Obwohl Turla aktuell nur regierungsnahe Organisationen anzugreifen scheint, sollten sich Unternehmen nicht in Sicherheit wiegen. Denn ist eine Malware erstmal entdeckt, ist es nur eine Frage der Zeit, bis auch andere Hackergruppen eine ähnlich funktionierende Malware einsetzen. Doch davor kann man sich schützen – und das sogar mit relativ einfachen Mitteln, wie die Sicherheitsforscher in ihrer Analyse betonen. Dazu gehören zum Beispiel die Nutzung von unterschiedlichen, komplexen Passwörtern und einer Mehrfaktor-Authentifizierung. Darüber hinaus sollten normale Nutzer nicht mit Admin-Rechten ausgestattet werden, damit sich eine Malware nicht einfach im Hintergrund installieren kann.