# COVID-19 Vaccine Espionage > [!danger] APT29 roubou pesquisas de vacinas COVID-19 do Reino Unido, EUA e Canada > Em meio a pandemia de 2020, o [[g0016-apt29|APT29 / Cozy Bear]] (SVR russo) conduziu uma campanha de espionagem contra institutos de pesquisa farmaceutica, universidades e orgaos governamentais de saúde envolvidos no desenvolvimento de vacinas COVID-19 no Reino Unido, EUA e Canada. Os backdoors WellMess e WellMail foram implantados via exploits VPN/Citrix para exfiltrar propriedade intelectual farmaceutica e dados de ensaios clinicos. ## Visão Geral A campanha **COVID-19 Vaccine Espionage** e um exemplo raro de espionagem cibernetica atribuida, divulgada e condenada públicamente em tempo real por tres governos simultaneamente - uma resposta diplomatica inusitadamente rapida que reflete a gravidade percebida do ataque. Em julho de 2020, os governos do **Reino Unido, EUA e Canada** emitiram um advisory conjunto (NCSC UK, CISA, NSA, CSE) atribuindo a campanha ao [[g0016-apt29|APT29 / Cozy Bear]] do SVR russo, com o objetivo explicito de roubar dados de pesquisa de vacinas COVID-19 para beneficio geopolitico e farmaceutico russo. O vetor de acesso inicial foi oportunista: o [[g0016-apt29|APT29]] explorou vulnerabilidades conhecidas em **soluções VPN e Citrix** - incluindo o CVE-2019-11510 (Pulse Secure) e CVE-2019-19781 (Citrix ADC) - que muitas organizacoes de pesquisa ainda nao tinham patcheado. Uma vez com acesso inicial, o grupo implantou os backdoors **WellMess** e **WellMail** - malware personalizado escrito em Go e .NET, respectivamente - para coleta persistente e exfiltração via canal C2 separado e cifrado, dificultando a detecção por monitoramento de rede convencional. O impacto estratégico da campanha pode ser inferido pelo timing do lançamento do Sputnik V: a Russia se tornou o primeiro pais a aprovar uma vacina COVID-19 (agosto de 2020), levantando questoes sobre o papel que o roubo de dados de pesquisas ocidentais pode ter desempenhado. Para o Brasil, que desenvolveu capacidades proprias de vacinas via Instituto Butantan e Fiocruz, a campanha e um modelo de ameaça relevante: infraestrutura de pesquisa farmaceutica e academica brasileira pode ser alvo de operações similares por múltiplos atores estatais. ## Attack Flow - COVID-19 Vaccine Espionage ```mermaid graph TB A["🎯 Reconhecimento<br/>Varredura de vulns em alvos saude"] --> B["🔓 Exploit VPN/Citrix/Fortinet<br/>CVE-2019-11510, CVE-2019-19781"] B --> C["🦠 WellMess Implantado<br/>Golang/NET backdoor persistente"] C --> D["🔑 Roubo de Credenciais<br/>Persistência silenciosa e lateral"] D --> E["📁 Coleta de Dados Vacinais<br/>Pesquisa clinica e IP farmaceutico"] E --> F["📤 Exfiltração via WellMail<br/>Canal C2 separado e cifrado"] F --> G["💀 Vantagem Geopolitica<br/>Sputnik V e inteligencia farmaceutica"] classDef recon fill:#1a2a3a,color:#aaccff,stroke:#2980b9 classDef exploit fill:#3a1a1a,color:#ffaaaa,stroke:#e74c3c classDef impact fill:#2a3a1a,color:#ccffaa,stroke:#27ae60 class A recon class B,C,D exploit class E,F,G impact ``` ## Resumo Operacional Enquanto o mundo enfrentava a pandemia mais severa do século, o SVR russo mobilizou o APT29 para capitalizar sobre a corrida global às vacinas. Ao comprometer organizações de pesquisa em países que lideravam o desenvolvimento vacinal (incluindo Cambridge/Oxford, organizações associadas a Moderna e Pfizer), o Kremlin buscava obter semanas ou meses de vantagem em dados clínicos - inteligência com imenso valor econômico e de prestígio geopolítico. A operação demonstra como espionagem cibernética serve estratégia nacional em crises globais. ## Detalhes Técnicos ### Vetores de Acesso Inicial O APT29 explorou vulnerabilidades conhecidas em sistemas de acesso remoto amplamente adotados durante a pandemia - período em que organizações de saúde apressadamente expandiram acesso remoto para funcionários: | CVE | Sistema | CVSS | |-----|---------|------| | CVE-2019-19781 | Citrix Application Delivery Controller | 9.8 | | CVE-2019-11510 | Pulse Secure VPN | 10.0 | | CVE-2018-13379 | Fortinet FortiGaté SSL VPN | 9.8 | | CVE-2019-9670 | Zimbra Collaboration Suite | 9.8 | Adicionalmente, o grupo realizou **varredura básica de vulnerabilidades** antes de selecionar vetores de exploração - indicando operações de reconhecimento sistemático contra alvos de saúde. ### Malware: WellMess e WellMail Dois malwares customizados foram utilizados e, por esta campanha, **atribuídos pela primeira vez ao APT29**: **WellMess:** - Linguagem: **Golang** ou **.NET** (amostras nas duas linguagens foram encontradas) - Em uso desde pelo menos **2018**, mas não ligado ao APT29 antes desta campanha - **Capacidades:** Execução de shell commands arbitrários, upload/download de arquivos, comunicação C2 - **Resiliência pós-exposição:** Mesmo após divulgação em julho de 2020, o APT29 continuou operando WellMess. Em 2021, pesquisadores identificaram mais de **30 servidores C2 ativos** - **Adaptação:** Após exposição pública, o grupo começou a usar o framework open-source **Sliver** como substituto para manter acesso em vítimas WellMess - demonstrando capacidade adaptativa **WellMail:** - Utilitário complementar leve para exfiltração de dados - Comúnicação C2 separada do WellMess ### Foco em Credenciais O APT29 priorizou **roubo de credenciais** de autenticação para: 1. Manter persistência silenciosa sem implantar malware adicional (reduz superfície de detecção) 2. Acumular credenciais de sistemas que poderiam ser valiosos no futuro 3. Movimento lateral dentro de redes de pesquisa para alcançar sistemas com dados de vacinas ## Atribuição O advisory conjunto de julho de 2020, emitido por: - **NCSC** (Reino Unido) - National Cyber Security Centre - **CISA** (EUA) - Cybersecurity and Infrastructure Security Agency - **CSE** (Canadá) - Commúnications Security Establishment - **NSA** (EUA) - National Security Agency ...concluiu que o APT29 é "almost certainly" parte dos serviços de inteligência russos, específicamente ligado ao **SVR** (Serviço de Inteligência Estrangeira). A velocidade do advisory - divulgado enquanto a campanha ainda estava ativa - foi excepcional, refletindo a gravidade política de ataques a pesquisa durante pandemia global. ## Impacto e Contexto Geopolítico Ironicamente, a Rússia lançava sua própria vacina (Sputnik V) neste mesmo período, gerando debaté sobre se os dados russos roubados aceleraram seu desenvolvimento vacinal. O incidente: - Demonstrou que operações cibernéticas seguem prioridades geopolíticas do momento, mesmo em crises humanitárias globais - Forçou organizações de saúde a reexaminarem postura de segurança em momento de sobrecarga operacional - Estabeleceu precedente de atribuição conjunta rápida entre aliados Five Eyes - Revelou que WellMess/WellMail estavam em uso pelo APT29 desde 2018 sem atribuição pública ## Linha do Tempo da Resposta | Data | Evento | |------|--------| | **Abril 2020** | Campanhas ativas detectadas por NCSC | | **Julho 2020** | Advisory conjunto NCSC/CISA/CSE/NSA divulgado públicamente | | **Julho 2021** | Pesquisadores encontram 30+ servidores C2 WellMess ainda ativos | | **2021** | APT29 migra para Sliver framework em vítimas WellMess pós-exposição | - [[g0016-apt29|APT29 / Cozy Bear]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1566-phishing|T1566 - Phishing]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[microsoft-corporate-breach-2024|Microsoft Corporaté Breach 2024]] - [[european-diplomatic-phishing-2025|European Diplomatic Phishing 2025]] - [[healthcare|saúde]] - [[government]] ## Relevância para o Brasil e LATAM O Brasil foi um dos países mais afetados pela pandemia de COVID-19 e ao mesmo tempo um ator relevante no desenvolvimento e produção de vacinas - com a Fiocruz (em parceria com AstraZeneca/Oxford) e o Instituto Butantan produzindo centenas de milhões de doses. Instituições de pesquisa biomédica brasileiras com propriedade intelectual relacionada a vacinas e capacidades de fabricação em escala são alvos de alto valor para operações de espionagem industrial e científica. O APT29 demonstrou nesta campanha que o setor de saúde é um alvo legítimo de inteligência mesmo em contexto de crise humanitária global. O advisory conjunto de julho de 2020 revelou que vulnerabilidades em VPN Pulse Secure (CVE-2019-11510), Fortinet FortiGaté (CVE-2018-13379) e Citrix ADC (CVE-2019-19781) foram amplamente exploradas pelo APT29. Muitas organizações de saúde brasileiras - incluindo hospitais universitários federais, institutos de pesquisa e fundações de apoio à pesquisa - utilizam estas mesmas soluções de acesso remoto, e a gestão de patches nesse setor historicamente fica atrás da indústria. A pandemia acelerou a digitalização do setor de saúde no Brasil, ampliando a superfície de ataque sem proporcional investimento em segurança. Para organizações de saúde e pesquisa biomédica brasileiras, as lições desta campanha são claras: implementar MFA em todos os acessos VPN e remotos; manter patches de segurança em dia mesmo em períodos de crise operacional; monitorar conexões para sistemas que contenham propriedade intelectual de alto valor; e participar de programas de compartilhamento de inteligência de ameaças como os promovidos pelo CERT.br e pelo Ministério da Saúde brasileiro. ## Referências - NCSC/CISA/CSE Advisory: "Advisory APT29 Targets COVID-19 Vaccine Development" (Julho 2020) - NSA/CISA/FBI Advisory: APT29 Russian SVR Intelligence Activities (Abril 2021) - SecurityWeek: "Russia's APT29 Still Actively Delivering Malware Used in COVID-19 Vaccine Spying" - The Hacker News: "Experts Uncover Several C2 Servers Active" (Julho 2021)