Na decisão que autorizou a prisão de quatros suspeitos de hackear celulares de autoridades, o juiz federal Vallisney de Souza Oliveira, da 10ª Vara Federal do Distrito Federal, afirma que há "fortes indícios" contra eles.
— Há fortes indícios de que os investigados integram organização criminosa para a prática de crimes e se uniram para violar o sigilo telefônico de diversas autoridades brasileiras via invasão do aplicativo Telegram — diz o juiz no despacho.
Foram presos nesta terça (23) Gustavo Henrique Elias Santos, Suelen Priscila de Oliveira, Danilo Cristiano Marques e Walter Delgatti Neto. O juiz determinou a quebra do sigilo bancário deles de 1º de janeiro a 17 de julho deste ano e o bloqueio acima de R$ 1 mil em suas contas.
O despacho informa que Gustavo Santos movimentou R$ 424 mil entre 18 de abril de 2018 e 29 de junho de 2018, tendo uma renda mensal de R$ 2.866. Sua companheira, Suelen, também detida, movimentou, segundo o documento judicial, R$ 203 mil de 7 de março a 29 de maio de 2019, sendo que sua renda mensal registrada seria de R$ 2.192.
"Diante da incompatibilidade entre as movimentações financeiras e a renda mensal de Gustavo e Suelen, faz-se necessário realizar o rastreamento dos recursos recebidos ou movimentados pelos investigados e de averiguar eventuais patrocinadores das invasões ilegais dos dispositivos informáticos (smartphones)" diz o juiz.
O sigilo telemático dos suspeitos também foi quebrado. O juiz determinou o envio de ofício às empresas Apple, Google, UOL/BOL e Microsoft, "para que forneçam os dados cadastrais, os registros IP de acesso e Mac address nos últimos seis meses, além de todos os dados e arquivos em nuvem referentes às contas de e-mail indicadas".
Foram cumpridas 11 ordens judiciais, das quais sete de busca e apreensão e quatro de prisão temporária nas cidades de São Paulo, Araraquara (SP) e Ribeirão Preto (SP).
Inicialmente, o inquérito em curso foi aberto em Brasília para apurar o ataque a aparelhos do ministro da Justiça e Segurança Pública, Sergio Moro, do juiz federal Abel Gomes — relator da Lava-Jato no Tribunal Regional Federal da 2ª Região (TRF-2) —, do juiz federal no Rio de Janeiro Flávio Lucas, e dos delegados da Polícia Federal (PF) em São Paulo Rafael Fernandes e Flávio Reis.
Segundo investigadores, a apuração mostrou que o celular do coordenador da força-tarefa da Lava-Jato, Deltan Dallagnol, também foi alvo do grupo. O caso de autoridades da Lava-Jato em Curitiba está sendo tratado em inquérito aberto pela Polícia Federal no Paraná.
Estratégia
Para ter acesso a dados pessoais de autoridades, os suspeitos de hackear os celulares das autoridades capturaram o código de acesso enviado pelo aplicativo de mensagens Telegram para sincronização com o serviço Telegram Web, usado no computador. A informação, inclusive, consta na decisão de Oliveira, que autorizou as prisões dos envolvidos no caso.
O Telegram permite que os usuários solicitem o código de acesso ao serviço na web por meio de uma ligação telefônica. Posteriormente, faz uma chamada de voz e informa o número.
A estratégia dos invasores, segundo a investigação da Polícia Federal, foi a de ligar várias vezes para os celulares-alvo, fazendo com que as linhas ficassem ocupadas. Dessa maneira, as chamadas do Telegram foram destinadas às caixas postais das linhas hackeadas.
A partir daí, os invasores simularam telefonemas aos celulares das vítimas feitos a partir dos números delas próprias.
Quando uma pessoa liga para ela mesma, é possível acessar os recados. Assim, foi possível entrar nas caixas postais, obter os códigos e abrir as mensagens das autoridades em computadores.
Conforme a PF, para realizar múltiplas ligações a Moro e demais vítimas, os suspeitos valeram-se de serviços de voz sobre IP (Internet Protocol, número que identifica um dispositivo em uma rede), que permitem fazer chamadas via computadores, celulares e telefones fixos em qualquer lugar do mundo.
Os investigadores seguiram os rastro dos telefonemas que foram feitos para o celular de Moro. Assim, descobriram que a operadora Datora Telecomunicações transportou as chamadas destinadas ao celular após recebê-las por meio da tecnologia VOIP.
Esse serviço é prestado pela microempresa BRVoz. Os arquivos dessa companhia mostraram que todas as chamadas para o ministro e para as demais autoridades partiram de um único usuário.
Ao todo, houve 5.616 chamadas em que o número de origem era igual ao de destino.
Pelos IPs atribuídos aos aparelhos que se conectaram ao sistema da BRVoz para fazer as ligações, foram identificados Danilo Cristiano Marques, Suelen Priscila de Oliveira, Walter Delgatti Neto e Gustavo Henrique Elias Santos, presos nesta terça (23). Para demonstrar os vínculos entre eles, a PF apresentou ainda um histórico de possíveis crimes que teriam praticado anteriormente.
Enganar uma rede
A Operação deflagrada se chama Spoofing, termo que, segundo a PF, designa "um tipo de falsificação tecnológica que procura enganar uma rede ou uma pessoa fazendo-a acreditar que a fonte de uma informação é confiável quando, na realidade, não é".
A Folha de S.Paulo apurou que a PF chegou aos suspeitos por meio da perícia criminal federal, que conseguiu rastrear os sinais do ataque aos telefones. Para investigadores, o grau de capacidade técnica dos hackers não era alto.
A investigação ainda não conseguiu estabelecer com exatidão se o grupo investigado em São Paulo tem ligação com o pacote de mensagens privadas dos procuradores da Lava-Jato obtido pelo site The Intercept Brasil. Segundo o órgão, "as investigações seguem para que sejam apuradas todas as circunstâncias dos crimes praticados".
Em junho, Moro esteve na Comissão de Constituição e Justiça do Senado para dar explicações sobre sua atuação como juiz da Lava-Jato. Mensagens reveladas pelo site Intercept em 9 de junho apontam colaboração entre o então juiz e Deltan, quando ambos atuavam em Curitiba. Em 23 de junho, a Folha começou a publicar reportagens que exploram o material obtido pelo site.
Durante a sessão no Senado, Moro deu detalhes do ataque hacker de que foi vítima. Afirmou que, em 4 de junho, por volta das 18h, seu próprio número lhe telefonou três vezes.
Segundo a Polícia Federal, os suspeitos não roubaram dados do aparelho do ministro.
Moro afirmou ainda que deixou de usar o Telegram, aplicativo de onde as mensagens vazadas foram extraídas, em 2017. Após notícias de ataques hackers nas eleições dos Estados Unidos, ele começou a desconfiar da segurança do aplicativo, que tem origem russa.
O ministro diz que apagou o Telegram de seu aparelho e que não tem mais os arquivos das conversas. Em junho, a força-tarefa da Lava Jato no Paraná divulgou nota afirmando que os procuradores da operação desativaram suas contas no aplicativo e excluíram os históricos de conversas após sofrerem ataques hackers neste ano.
Segundo o Telegram, se o usuário não acessar o aplicativo por seis meses, a conta é destruída automaticamente. O usuário pode ainda alterar em configurações esse prazo para de um mês a, no máximo, um ano.
A empresa também afirma que, caso um usuário tenha apagado a conta no aplicativo, todos os dados, como mensagens, grupos e contatos associados, são apagados do sistema. Quem volta a utilizá-lo aparece como um novo usuário, sem histórico de mensagens ou grupos de conversa.
Entenda a Operação
Qual o resultado da operação da PF?
Nesta terça (23), quatro pessoas foram presas sob suspeita de hackear telefones de autoridades, incluindo Moro e Deltan. Foram cumpridas 11 ordens judiciais, das quais sete de busca e apreensão e quatro de prisão temporária nas cidades de São Paulo, Araraquara (SP) e Ribeirão Preto (SP). Os quatro presos foram transferidos para Brasília, onde prestariam depoimento à PF.
As prisões têm relação com as mensagens trocadas entre Moro e procuradores da Lava-Jato divulgadas desde junho pelo site The Intercept Brasil?
A investigação ainda não conseguiu estabelecer com exatidão se o grupo sob investigação em São Paulo tem ligação com o pacote de mensagens. Também não há provas de que os diálogos, enviados ao Intercept por fonte anônima, foram obtidos a partir de ataque hacker.
Como a investigação começou?
Inicialmente, o inquérito em curso foi aberto em Brasília para apurar o ataque a aparelhos do ministro da Justiça e Segurança Pública, Sergio Moro, do juiz federal Abel Gomes — relator da Lava-Jato no Tribunal Regional Federal da 2ª Região (TRF-2) —, do juiz federal no Rio de Janeiro Flávio Lucas, e dos delegados da Polícia Federal (PF) em São Paulo Rafael Fernandes e Flávio Reis. Segundo investigadores, a apuração mostrou que o celular de Deltan também foi alvo do grupo.
Quando Moro foi hackeado?
Segundo o ministro afirmou ao Senado, em 4 de junho, por volta das 18h, seu próprio número lhe telefonou três vezes. De acordo com a Polícia Federal, os invasores não roubaram dados do aparelho.
O site The Intercept afirma que não há ligação entre as mensagens e o ataque, visto que o pacote de conversas já estava com o site quando ocorreu a invasão.