As ligações telefônicas para o ministro Sergio Moro (Justiça) e o bloqueio de um número de telefone usado por hackers foram fundamentais para a deflagração da Operação Spoofing, segundo relatório da Polícia Federal e investigadores.
Em cerca de dez dias, o caso estava praticamente solucionado do ponto de vista técnico. Nesse período foi entendido como o ataque a autoridades da Lava Jato havia sido feito.
Menos de dois meses depois de Moro ter sido vítima da invasão, a polícia prendeu quatro pessoas suspeitas de terem participado do ataque a contas do aplicativo Telegram de figuras públicas. Walter Delgatti Neto, Gustavo Henrique Elias Santos, Suelen de Oliveira e Danilo Cistiano Marques foram presos na última terça (23).
Segundo a Justiça, estima-se que cerca de mil números tenham sido alvo do grupo.
Delgatti disse em depoimento ter sido o autor dos ataques. Ele afirmou ter repassado de forma anônima, voluntária e sem custos parte do conteúdo copiado para o jornalista Glenn Greenwald, fundador do site The Intercept Brasil.
As reportagens com base em mensagens extraídas das contas de procuradores, publicadas também pela Folha, revelam bastidores da Lava Jato e constrangem os envolvidos na maior operação de combate à corrupção da história do país.
Quando começou a investigação sobre o ataque hacker, em 5 de junho, a Polícia Federal tinha basicamente uma informação: Moro havia recebido ligação de seu próprio número de telefone minutos antes de saber que tivera seu Telegram invadido.
Já se descartava, logo de cara, a possibilidade de um programa espião ter sido instalado ou de que o invasor tivesse tido acesso físico ao aparelho.
Em um primeiro momento, investigadores avaliaram que não seria necessário fazer perícia no celular, mas depois a consideraram determinante.
A partir daí, a polícia obteve dados de operadoras de telefonia que mostravam que o celular de Moro havia recebido uma ligação do Telegram —que informava um código de acesso ao aplicativo— antes daquela com seu próprio número.
A polícia também identificou uma série de chamadas ao ministro que foram feitas no mesmo instante da ligação do Telegram.
Com essas informações, chegou à primeira conclusão: as ligações simultâneas eram a estratégia usada pelos hackers para que a chamada do Telegram caísse na caixa-postal. Com isso, a mensagem com o código de acesso ao aplicativo ficaria registrada no correio de voz.
A apuração passou a tentar descobrir como o autor do golpe poderia ter acesso ao conteúdo gravado na caixa-postal.
O padrão das ligações fez com que se descobrisse uma vulnerabilidade na rede de telecomunicações: chamadas em que o número de origem era igual ao número de destino davam acesso ao correio de voz sem a necessidade de senha.
Também por meio de informações de operadoras de telefonia, a PF constatou que as chamadas desse tipo (mesmo número de origem e destino) foram feitas pela Claro através de rota de interconexão com outra operadora, a Datora.
Por meio de medidas cautelares, os investigadores conseguiram confirmar que uma empresa chamada Datora de fato transportou tais chamadas para o número do Moro. As ligações transportadas foram feitas com a tecnologia Voip, que funciona via internet, e realizadas pela empresa Megavoip. Ao criar uma conta no serviço que faz essas operações, o usuário ganha um ID (número).
Em 4 de julho, após determinação judicial, a Megavoip recebeu a PF e forneceu os acessos aos sistemas internos, para apuração e perícia.
A polícia conseguiu identificar que as chamadas feitas para o celular do ministro tinham sido feitas por um ID, registrado em nome de Anderson José da Silva. Partiram do mesmo ID, segundo a investigação, ligações destinadas para outras autoridades que tiveram contas atacadas. Após um deslize dos hackers, a PF conseguiu relacionar esse ID do suposto Anderson com um outro ID, registrado em nome de Marcelo Alexandre Thomaz.
A conta de ID ligada a Anderson foi bloqueada pela Megavoip, após pedido da empresa Datora, que informou ter recebido reclamações de chamadas suspeitas realizadas por ele.
O outro ID, vinculado a Marcelo, entrou em contato para tentar reaver o ID bloqueado, se identificando como Anderson. Dessa forma, a relação entre os IDs foi estabelecida.
Assim, peritos identificaram que dois desses IDs realizaram 5.616 ligações em que o número de origem era igual o número de destino, relacionadas a 976 números diferentes —por esse motivo, a PF falou em um ataque a cerca de mil pessoas, entre elas autoridades.
Ainda há uma análise em andamento sobre a atuação de um terceiro ID, também já identificado.
A PF percebeu que os dados dos clientes vinculados aos IDs não eram verdadeiros e que os nomes registrados não eram os das pessoas que de fato estavam utilizando o serviço.
Para saber quem eram os reais usuários, a polícia teve que ir atrás dos endereços de IP, espécie de CPF dos computadores, que foram atribuídos aos computadores e smartphones que se conectaram com a empresa Megavoip no momento dos ataques.
Três novos endereços de residências vinculados a três nomes apareceram na investigação: Danilo Marques, Marta Elias e Suelen de Oliveira.
A polícia passou a fazer um trabalho de campo para identificação dos moradores reais dos endereços. Assim, investigadores descobriram Walter Delgatti Neto como morador da casa vinculada a Danilo Marques e Gustavo Henrique como namorado de Suelen de Oliveira. Marta Elias, por sua vez, é mãe de Gustavo.
Delgatti, Suelen, Danilo e Gustavo estão presos desde a semana passada. Segundo a Justiça, há fortes indícios de que eles atuaram juntos para promover os ataques. Delgatti, contudo, afirmou que agiu sozinho.
Ligação por internet
O serviço da Megavoip permite que um cliente possa usar computadores, telefones convencionais ou celulares para ligações de qualquer lugar do mundo, bastando estar conectado na internet.
O cliente precisa fazer um pagamento do valor do plano escolhido, por meio de um boleto bancário emitido pela PagSeguro, mas não há confirmação de veracidade da identificação das pessoas.
Após o pagamento, o usuário recebe em seu e-mail informações para a criação de um login no sistema e recebe um ID. O e-mail é a única informação segura que a PF tinha para trabalhar na apuração.
A Megavoip ainda fornece alguns tipos de serviços opcionais, entre eles a função chamada “identificador de chamadas”, que, quando habilitada, permite que o usuário possa editar o número chamador em cada ligação.
Cronologia do caso
Ataque a Moro
Em 4 de junho, conta do Telegram do ministro Sergio Moro (Justiça) é invadida. Polícia Federal abre inquérito. Procuradores da Lava Jato também tinham reportado invasões
Sem acesso físico
A informação inicial: não havia programa de espionagem instalado no aparelho e o hacker não tinha assumido o controle do telefone. A única pista era esta: antes do ataque, o ministro recebera diversas ligações; numa delas, seu próprio número era o chamador
Telegram
Com base nisso, a PF pediu informações para operadoras de telefonia e descobriu ligação que o Telegram havia feito para Moro, para passar um código de acesso
Mesmo número
A polícia também percebeu uma série de chamadas feitas para o ministro ao mesmo tempo da ligação do Telegram, o que ajudou a concluir que os telefonemas eram uma estratégia para fazer a ligação do Telegram cair na caixa-postal e deixar recado com o código de acesso
Voip
A PF descobriu que essas ligações com número do próprio destinatário eram feitas por tecnologia Voip, que é uma ligação pela internet. O serviço permite editar o número chamador. O acesso à caixa-postal se dava por uma vulnerabilidade na rede de telecomunicações
ID
A polícia conseguiu identificar que todas as chamadas feitas para o celular do ministro tinham sido feitas por um ID determinado (número). A PF conseguiu relacionar esse ID com um outro ID, que havia feito ainda mais chamadas, por um “erro” cometido pelos hackers
Erro
A conta do primeiro ID foi bloqueada pela empresa de Voip, por causa de reclamações de chamadas suspeitas realizadas por ele. Um outro ID ligou para reclamar em nome do primeiro e aí se estabeleceu a relação
Dados falsos
A PF, porém, identificou que os dados registrados dos três IDs não eram verdadeiros. Para saber quem eram os reais usuários, a PF teve que ir atrás dos endereços de IP, espécie de CEP dos computadores, que foram atribuídos aos dispositivos que se conectaram com a empresa de Voip no momento dos ataques
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.