As ligações telefônicas para o ministro Sergio Moro (Justiça) e o bloqueio de um número de telefone usado por hackers foram fundamentais para a deflagração da Operação Spoofing, segundo relatório da Polícia Federal e investigadores.
Em cerca de dez dias, o caso estava praticamente solucionado do ponto de vista técnico. Nesse período foi entendido como o ataque a autoridades da Lava Jato havia sido feito.
Menos de dois meses depois de Moro ter sido vítima da invasão, a polícia prendeu quatro pessoas suspeitas de terem participado do ataque a contas do aplicativo Telegram de figuras públicas. Walter Delgatti Neto, Gustavo Henrique Elias Santos, Suelen de Oliveira e Danilo Cistiano Marques foram presos na última terça (23).
Segundo a Justiça, estima-se que cerca de mil números tenham sido alvo do grupo.
Delgatti disse em depoimento ter sido o autor dos ataques. Ele afirmou ter repassado de forma anônima, voluntária e sem custos parte do conteúdo copiado para o jornalista Glenn Greenwald, fundador do site The Intercept Brasil.
As reportagens com base em mensagens extraídas das contas de procuradores, publicadas também pela Folha de S.Paulo, revelam bastidores da Lava Jato e constrangem os envolvidos na maior operação de combate à corrupção da história do país.
Quando começou a investigação sobre o ataque hacker, em 5 de junho, a Polícia Federal tinha basicamente uma informação: Moro havia recebido ligação de seu próprio número de telefone minutos antes de saber que tivera seu Telegram invadido.
Já se descartava, logo de cara, a possibilidade de um programa espião ter sido instalado ou de que o invasor tivesse tido acesso físico ao aparelho.
Em um primeiro momento, investigadores avaliaram que não seria necessário fazer perícia no celular, mas depois a consideraram determinante.
A partir daí, a polícia obteve dados de operadoras de telefonia que mostravam que o celular de Moro havia recebido uma ligação do Telegram —que informava um código de acesso ao aplicativo— antes daquela com seu próprio número.
A polícia também identificou uma série de chamadas ao ministro que foram feitas no mesmo instante da ligação do Telegram.
Com essas informações, chegou à primeira conclusão: as ligações simultâneas eram a estratégia usada pelos hackers para que a chamada do Telegram caísse na caixa-postal. Com isso, a mensagem com o código de acesso ao aplicativo ficaria registrada no correio de voz.
A apuração passou a tentar descobrir como o autor do golpe poderia ter acesso ao conteúdo gravado na caixa-postal.
O padrão das ligações fez com que se descobrisse uma vulnerabilidade na rede de telecomunicações: chamadas em que o número de origem era igual ao número de destino davam acesso ao correio de voz sem a necessidade de senha.
Também por meio de informações de operadoras de telefonia, a PF constatou que as chamadas desse tipo (mesmo número de origem e destino) foram feitas pela Claro através de rota de interconexão com outra operadora, a Datora.
Por meio de medidas cautelares, os investigadores conseguiram confirmar que uma empresa chamada Datora de fato transportou tais chamadas para o número do Moro. As ligações transportadas foram feitas com a tecnologia Voip, que funciona via internet, e realizadas pela empresa Megavoip. Ao criar uma conta no serviço que faz essas operações, o usuário ganha um ID (número).
Em 4 de julho, após determinação judicial, a Megavoip recebeu a PF e forneceu os acessos aos sistemas internos, para apuração e perícia.
A polícia conseguiu identificar que as chamadas feitas para o celular do ministro tinham sido feitas por um ID, registrado em nome de Anderson José da Silva. Partiram do mesmo ID, segundo a investigação, ligações destinadas para outras autoridades que tiveram contas atacadas. Após um deslize dos hackers, a PF conseguiu relacionar esse ID do suposto Anderson com um outro ID, registrado em nome de Marcelo Alexandre Thomaz.
A conta de ID ligada a Anderson foi bloqueada pela Megavoip, após pedido da empresa Datora, que informou ter recebido reclamações de chamadas suspeitas realizadas por ele.
O outro ID, vinculado a Marcelo, entrou em contato para tentar reaver o ID bloqueado, se identificando como Anderson. Dessa forma, a relação entre os IDs foi estabelecida.
Assim, peritos identificaram que dois desses IDs realizaram 5.616 ligações em que o número de origem era igual o número de destino, relacionadas a 976 números diferentes —por esse motivo, a PF falou em um ataque a cerca de mil pessoas, entre elas autoridades.
Ainda há uma análise em andamento sobre a atuação de um terceiro ID, também já identificado.
A PF percebeu que os dados dos clientes vinculados aos IDs não eram verdadeiros e que os nomes registrados não eram os das pessoas que de fato estavam utilizando o serviço.
Para saber quem eram os reais usuários, a política teve que ir atrás dos endereços de IP, espécie de CPF dos computadores, que foram atribuídos aos computadores e smartphones que se conectaram com a empresa Megavoip no momento dos ataques.
Três novos endereços de residências vinculados a três nomes apareceram na investigação: Danilo Marques, Marta Elias e Suelen de Oliveira.
A polícia passou a fazer um trabalho de campo para identificação dos moradores reais dos endereços. Assim, investigadores descobriram Walter Delgatti Neto como morador da casa vinculada a Danilo Marques e Gustavo Henrique como namorado de Suelen de Oliveira. Marta Elias, por sua vez, é mãe de Gustavo.
Delgatti, Suelen, Danilo e Gustavo estão presos desde a semana passada. Segundo a Justiça, há fortes indícios de que eles atuaram juntos para promover os ataques. Delgatti, contudo, afirmou que agiu sozinho.
Ligação por internet
O serviço da Megavoip permite que um cliente possa usar computadores, telefones convencionais ou celulares para ligações de qualquer lugar do mundo, bastando estar conectado na internet.
O cliente precisa fazer um pagamento do valor do plano escolhido, por meio de um boleto bancário emitido pela PagSeguro, mas não há confirmação de veracidade da identificação das pessoas.
Após o pagamento, o usuário recebe em seu e-mail informações para a criação de um login no sistema e recebe um ID. O e-mail é a única informação segura que a PF tinha para trabalhar na apuração.
A Megavoip ainda fornecesse alguns tipos de serviços opcionais, entre eles a função chamada “identificador de chamadas”, que, quando habilitada, permite que o usuário possa editar o número chamador em cada ligação.
Em cerca de dez dias, o caso estava praticamente solucionado do ponto de vista técnico. Nesse período foi entendido como o ataque a autoridades da Lava Jato havia sido feito.
Menos de dois meses depois de Moro ter sido vítima da invasão, a polícia prendeu quatro pessoas suspeitas de terem participado do ataque a contas do aplicativo Telegram de figuras públicas. Walter Delgatti Neto, Gustavo Henrique Elias Santos, Suelen de Oliveira e Danilo Cistiano Marques foram presos na última terça (23).
Segundo a Justiça, estima-se que cerca de mil números tenham sido alvo do grupo.
Delgatti disse em depoimento ter sido o autor dos ataques. Ele afirmou ter repassado de forma anônima, voluntária e sem custos parte do conteúdo copiado para o jornalista Glenn Greenwald, fundador do site The Intercept Brasil.
As reportagens com base em mensagens extraídas das contas de procuradores, publicadas também pela Folha de S.Paulo, revelam bastidores da Lava Jato e constrangem os envolvidos na maior operação de combate à corrupção da história do país.
Quando começou a investigação sobre o ataque hacker, em 5 de junho, a Polícia Federal tinha basicamente uma informação: Moro havia recebido ligação de seu próprio número de telefone minutos antes de saber que tivera seu Telegram invadido.
Já se descartava, logo de cara, a possibilidade de um programa espião ter sido instalado ou de que o invasor tivesse tido acesso físico ao aparelho.
Em um primeiro momento, investigadores avaliaram que não seria necessário fazer perícia no celular, mas depois a consideraram determinante.
A partir daí, a polícia obteve dados de operadoras de telefonia que mostravam que o celular de Moro havia recebido uma ligação do Telegram —que informava um código de acesso ao aplicativo— antes daquela com seu próprio número.
A polícia também identificou uma série de chamadas ao ministro que foram feitas no mesmo instante da ligação do Telegram.
Com essas informações, chegou à primeira conclusão: as ligações simultâneas eram a estratégia usada pelos hackers para que a chamada do Telegram caísse na caixa-postal. Com isso, a mensagem com o código de acesso ao aplicativo ficaria registrada no correio de voz.
A apuração passou a tentar descobrir como o autor do golpe poderia ter acesso ao conteúdo gravado na caixa-postal.
O padrão das ligações fez com que se descobrisse uma vulnerabilidade na rede de telecomunicações: chamadas em que o número de origem era igual ao número de destino davam acesso ao correio de voz sem a necessidade de senha.
Também por meio de informações de operadoras de telefonia, a PF constatou que as chamadas desse tipo (mesmo número de origem e destino) foram feitas pela Claro através de rota de interconexão com outra operadora, a Datora.
Por meio de medidas cautelares, os investigadores conseguiram confirmar que uma empresa chamada Datora de fato transportou tais chamadas para o número do Moro. As ligações transportadas foram feitas com a tecnologia Voip, que funciona via internet, e realizadas pela empresa Megavoip. Ao criar uma conta no serviço que faz essas operações, o usuário ganha um ID (número).
Em 4 de julho, após determinação judicial, a Megavoip recebeu a PF e forneceu os acessos aos sistemas internos, para apuração e perícia.
A polícia conseguiu identificar que as chamadas feitas para o celular do ministro tinham sido feitas por um ID, registrado em nome de Anderson José da Silva. Partiram do mesmo ID, segundo a investigação, ligações destinadas para outras autoridades que tiveram contas atacadas. Após um deslize dos hackers, a PF conseguiu relacionar esse ID do suposto Anderson com um outro ID, registrado em nome de Marcelo Alexandre Thomaz.
A conta de ID ligada a Anderson foi bloqueada pela Megavoip, após pedido da empresa Datora, que informou ter recebido reclamações de chamadas suspeitas realizadas por ele.
O outro ID, vinculado a Marcelo, entrou em contato para tentar reaver o ID bloqueado, se identificando como Anderson. Dessa forma, a relação entre os IDs foi estabelecida.
Assim, peritos identificaram que dois desses IDs realizaram 5.616 ligações em que o número de origem era igual o número de destino, relacionadas a 976 números diferentes —por esse motivo, a PF falou em um ataque a cerca de mil pessoas, entre elas autoridades.
Ainda há uma análise em andamento sobre a atuação de um terceiro ID, também já identificado.
A PF percebeu que os dados dos clientes vinculados aos IDs não eram verdadeiros e que os nomes registrados não eram os das pessoas que de fato estavam utilizando o serviço.
Para saber quem eram os reais usuários, a política teve que ir atrás dos endereços de IP, espécie de CPF dos computadores, que foram atribuídos aos computadores e smartphones que se conectaram com a empresa Megavoip no momento dos ataques.
Três novos endereços de residências vinculados a três nomes apareceram na investigação: Danilo Marques, Marta Elias e Suelen de Oliveira.
A polícia passou a fazer um trabalho de campo para identificação dos moradores reais dos endereços. Assim, investigadores descobriram Walter Delgatti Neto como morador da casa vinculada a Danilo Marques e Gustavo Henrique como namorado de Suelen de Oliveira. Marta Elias, por sua vez, é mãe de Gustavo.
Delgatti, Suelen, Danilo e Gustavo estão presos desde a semana passada. Segundo a Justiça, há fortes indícios de que eles atuaram juntos para promover os ataques. Delgatti, contudo, afirmou que agiu sozinho.
Ligação por internet
O serviço da Megavoip permite que um cliente possa usar computadores, telefones convencionais ou celulares para ligações de qualquer lugar do mundo, bastando estar conectado na internet.
O cliente precisa fazer um pagamento do valor do plano escolhido, por meio de um boleto bancário emitido pela PagSeguro, mas não há confirmação de veracidade da identificação das pessoas.
Após o pagamento, o usuário recebe em seu e-mail informações para a criação de um login no sistema e recebe um ID. O e-mail é a única informação segura que a PF tinha para trabalhar na apuração.
A Megavoip ainda fornecesse alguns tipos de serviços opcionais, entre eles a função chamada “identificador de chamadas”, que, quando habilitada, permite que o usuário possa editar o número chamador em cada ligação.
Cronologia do caso
Ataque a Moro
Ataque a Moro
Em 4 de junho, conta do Telegram do ministro Sergio Moro (Justiça) é invadida. Polícia Federal abre inquérito. Procuradores da Lava Jato também tinham reportado invasões
Sem acesso físico
Sem acesso físico
A informação inicial: não havia programa de espionagem instalado no aparelho e o hacker não tinha assumido o controle do telefone. A única pista era esta: antes do ataque, o ministro recebera diversas ligações; numa delas, seu próprio número era o chamador
Telegram
Telegram
Com base nisso, a PF pediu informações para operadoras de telefonia e descobriu ligação que o Telegram havia feito para Moro, para passar um código de acesso
Mesmo número
Mesmo número
A polícia também percebeu uma série de chamadas feitas para o ministro ao mesmo tempo da ligação do Telegram, o que ajudou a concluir que os telefonemas eram uma estratégia para fazer a ligação do Telegram cair na caixa-postal e deixar recado com o código de acesso
Voip
Voip
A PF descobriu que essas ligações com número do próprio destinatário eram feitas por tecnologia Voip, que é uma ligação pela internet. O serviço permite editar o número chamador. O acesso à caixa-postal se dava por uma vulnerabilidade na rede de telecomunicações
ID
ID
A polícia conseguiu identificar que todas as chamadas feitas para o celular do ministro tinham sido feitas por um ID determinado (número). A PF conseguiu relacionar esse ID com um outro ID, que havia feito ainda mais chamadas, por um “erro” cometido pelos hackers
Erro
Erro
A conta do primeiro ID foi bloqueada pela empresa de Voip, por causa de reclamações de chamadas suspeitas realizadas por ele. Um outro ID ligou para reclamar em nome do primeiro e aí se estabeleceu a relação
Dados falsos
Dados falsos
A PF, porém, identificou que os dados registrados dos três IDs não eram verdadeiros. Para saber quem eram os reais usuários, a PF teve que ir atrás dos endereços de IP, espécie de CEP dos computadores, que foram atribuídos aos dispositivos que se conectaram com a empresa de Voip no momento dos ataques
