Ligações para Moro e bloqueio de telefone deram caminho até hackers

Três novos endereços de residências vinculados a três nomes apareceram na investigação

Sergio MoroSergio Moro - Foto: Fábio Rodrigues Pozzebom/ABr

As ligações telefônicas para o ministro Sergio Moro (Justiça) e o bloqueio de um número de telefone usado por hackers foram fundamentais para a deflagração da Operação Spoofing, segundo relatório da Polícia Federal e investigadores.
Em cerca de dez dias, o caso estava praticamente solucionado do ponto de vista técnico. Nesse período foi entendido como o ataque a autoridades da Lava Jato havia sido feito.

Menos de dois meses depois de Moro ter sido vítima da invasão, a polícia prendeu quatro pessoas suspeitas de terem participado do ataque a contas do aplicativo Telegram de figuras públicas. Walter Delgatti Neto, Gustavo Henrique Elias Santos, Suelen Oliveira e Danilo Marques foram presos na última terça (23). Segundo a Justiça, estima-se que cerca de mil números tenham sido alvo do grupo.

Delgatti disse em depoimento ter sido o autor dos ataques. Ele afirmou ter repassado de forma anônima, voluntária e sem custos parte do conteúdo copiado para o jornalista Glenn Greenwald, fundador do site The Intercept Brasil. As reportagens com base no material, publicadas também pela Folha, revelam bastidores da Lava Jato e constrangem os envolvidos na maior operação de combate à corrupção da história do país.

Leia também:
Moro diz que fez relação 'lógica' entre hacker e site
PT quer Moro investigado por tentar interferir em eleição com delação de Palocci

Quando começou a investigação sobre o ataque hacker, em 5 de junho, a Polícia Federal tinha basicamente uma informação: Moro havia recebido ligação de seu próprio número de telefone minutos antes de saber que tivera seu Telegram invadido. Já se descartava, logo de cara, a possibilidade de um programa espião ter sido instalado ou de que o invasor tivesse tido acesso físico ao aparelho.
Em um primeiro momento, investigadores avaliaram que não seria necessário fazer perícia no celular, mas depois a consideraram determinante.

A partir daí, a polícia obteve dados de operadoras que mostravam que o celular de Moro havia recebido uma ligação do Telegram -que informava um código de acesso ao aplicativo- antes daquela com seu próprio número. A polícia também identificou uma série de chamadas ao ministro que foram feitas no mesmo instante da ligação do Telegram.

Com essas informações, chegou à primeira conclusão: as ligações simultâneas eram a estratégia usada pelos hackers para que a chamada do Telegram caísse na caixa-postal. Com isso, a mensagem com o código de acesso ao aplicativo ficaria registrada no correio de voz. A apuração passou a tentar descobrir como o autor do golpe poderia ter acesso ao conteúdo gravado na caixa-postal.

O padrão das ligações fez com que se descobrisse uma vulnerabilidade na rede de telecomunicações: chamadas em que o número de origem era igual ao número de destino davam acesso ao correio de voz sem a necessidade de senha. Também por meio de informações de operadoras de telefonia, a PF constatou que as chamadas desse tipo (mesmo número de origem e destino) foram feitas pela Claro através de rota de interconexão com outra operadora, a Datora.

Por meio de medidas cautelares, os investigadores conseguiram confirmar que uma empresa chamada Datora de fato transportou tais chamadas para o número do Moro. As ligações transportadas foram feitas com a tecnologia Voip, que funciona via internet, e realizadas pela empresa Megavoip. Ao criar uma conta no serviço que faz essas operações, o usuário ganha um ID (número). Em 4 de julho, após determinação judicial, a Megavoip recebeu a PF e forneceu os acessos aos sistemas internos, para apuração e perícia.

A polícia conseguiu identificar que as chamadas feitas para o celular do ministro tinham sido feitas por um ID, registrado em nome de Anderson José da Silva. Partiram do mesmo ID, segundo a investigação, ligações destinadas para outras autoridades que tiveram contas atacadas. Após um deslize dos hackers, a PF conseguiu relacionar esse ID do suposto Anderson com um outro ID, registrado em nome de Marcelo Alexandre Thomaz.
A conta de ID ligada a Anderson foi bloqueada pela Megavoip, após pedido da Datora, que informou ter recebido reclamações de chamadas suspeitas realizadas por ele.

O outro ID, vinculado a Marcelo, entrou em contato para tentar reaver o ID bloqueado, se identificando como Anderson. Dessa forma, a relação entre os IDs foi estabelecida. A PF percebeu que os dados dos clientes vinculados aos IDs não eram verdadeiros e que os nomes registrados não eram os das pessoas que de fato estavam utilizando o serviço.

Para saber quem eram os reais usuários, a política teve que ir atrás dos endereços de IP, espécie de CPF dos computadores, que foram atribuídos aos computadores e smartphones que se conectaram com a empresa Megavoip no momento dos ataques. Três novos endereços de residências vinculados a três nomes apareceram na investigação: Danilo Marques, Marta Elias e Suelen de Oliveira.

A polícia passou a fazer um trabalho de campo para identificação dos moradores reais dos endereços. Assim, investigadores descobriram Walter Delgatti Neto como morador da casa vinculada a Danilo Marques e Gustavo Henrique como namorado de Suelen de Oliveira. Marta Elias, por sua vez, é mãe de Gustavo. Delgatti, Suelen, Danilo e Gustavo estão presos desde a semana passada. Segundo a Justiça, há fortes indícios de que eles atuaram juntos para promover os ataques. Delgatti, contudo, afirmou que agiu sozinho.

Veja também

Mais de 20 mil candidatos mudaram declaração de cor desde as últimas eleições
Justiça Eleitoral

Mais de 20 mil candidatos mudaram declaração de cor desde as últimas eleições

Mais de 20 mil candidatos mudaram declaração de cor desde as últimas eleições
Eleições

Mais de 20 mil candidatos mudaram declaração de cor desde as últimas eleições