Ligações para Moro e bloqueio de telefone deram caminho até hackers

Três novos endereços de residências vinculados a três nomes apareceram na investigação

Sergio MoroSergio Moro - Foto: Fábio Rodrigues Pozzebom/ABr

As ligações telefônicas para o ministro Sergio Moro (Justiça) e o bloqueio de um número de telefone usado por hackers foram fundamentais para a deflagração da Operação Spoofing, segundo relatório da Polícia Federal e investigadores.
Em cerca de dez dias, o caso estava praticamente solucionado do ponto de vista técnico. Nesse período foi entendido como o ataque a autoridades da Lava Jato havia sido feito.

Menos de dois meses depois de Moro ter sido vítima da invasão, a polícia prendeu quatro pessoas suspeitas de terem participado do ataque a contas do aplicativo Telegram de figuras públicas. Walter Delgatti Neto, Gustavo Henrique Elias Santos, Suelen Oliveira e Danilo Marques foram presos na última terça (23). Segundo a Justiça, estima-se que cerca de mil números tenham sido alvo do grupo.

Delgatti disse em depoimento ter sido o autor dos ataques. Ele afirmou ter repassado de forma anônima, voluntária e sem custos parte do conteúdo copiado para o jornalista Glenn Greenwald, fundador do site The Intercept Brasil. As reportagens com base no material, publicadas também pela Folha, revelam bastidores da Lava Jato e constrangem os envolvidos na maior operação de combate à corrupção da história do país.

Leia também:
Moro diz que fez relação 'lógica' entre hacker e site
PT quer Moro investigado por tentar interferir em eleição com delação de Palocci

Quando começou a investigação sobre o ataque hacker, em 5 de junho, a Polícia Federal tinha basicamente uma informação: Moro havia recebido ligação de seu próprio número de telefone minutos antes de saber que tivera seu Telegram invadido. Já se descartava, logo de cara, a possibilidade de um programa espião ter sido instalado ou de que o invasor tivesse tido acesso físico ao aparelho.
Em um primeiro momento, investigadores avaliaram que não seria necessário fazer perícia no celular, mas depois a consideraram determinante.

A partir daí, a polícia obteve dados de operadoras que mostravam que o celular de Moro havia recebido uma ligação do Telegram -que informava um código de acesso ao aplicativo- antes daquela com seu próprio número. A polícia também identificou uma série de chamadas ao ministro que foram feitas no mesmo instante da ligação do Telegram.

Com essas informações, chegou à primeira conclusão: as ligações simultâneas eram a estratégia usada pelos hackers para que a chamada do Telegram caísse na caixa-postal. Com isso, a mensagem com o código de acesso ao aplicativo ficaria registrada no correio de voz. A apuração passou a tentar descobrir como o autor do golpe poderia ter acesso ao conteúdo gravado na caixa-postal.

O padrão das ligações fez com que se descobrisse uma vulnerabilidade na rede de telecomunicações: chamadas em que o número de origem era igual ao número de destino davam acesso ao correio de voz sem a necessidade de senha. Também por meio de informações de operadoras de telefonia, a PF constatou que as chamadas desse tipo (mesmo número de origem e destino) foram feitas pela Claro através de rota de interconexão com outra operadora, a Datora.

Por meio de medidas cautelares, os investigadores conseguiram confirmar que uma empresa chamada Datora de fato transportou tais chamadas para o número do Moro. As ligações transportadas foram feitas com a tecnologia Voip, que funciona via internet, e realizadas pela empresa Megavoip. Ao criar uma conta no serviço que faz essas operações, o usuário ganha um ID (número). Em 4 de julho, após determinação judicial, a Megavoip recebeu a PF e forneceu os acessos aos sistemas internos, para apuração e perícia.

A polícia conseguiu identificar que as chamadas feitas para o celular do ministro tinham sido feitas por um ID, registrado em nome de Anderson José da Silva. Partiram do mesmo ID, segundo a investigação, ligações destinadas para outras autoridades que tiveram contas atacadas. Após um deslize dos hackers, a PF conseguiu relacionar esse ID do suposto Anderson com um outro ID, registrado em nome de Marcelo Alexandre Thomaz.
A conta de ID ligada a Anderson foi bloqueada pela Megavoip, após pedido da Datora, que informou ter recebido reclamações de chamadas suspeitas realizadas por ele.

O outro ID, vinculado a Marcelo, entrou em contato para tentar reaver o ID bloqueado, se identificando como Anderson. Dessa forma, a relação entre os IDs foi estabelecida. A PF percebeu que os dados dos clientes vinculados aos IDs não eram verdadeiros e que os nomes registrados não eram os das pessoas que de fato estavam utilizando o serviço.

Para saber quem eram os reais usuários, a política teve que ir atrás dos endereços de IP, espécie de CPF dos computadores, que foram atribuídos aos computadores e smartphones que se conectaram com a empresa Megavoip no momento dos ataques. Três novos endereços de residências vinculados a três nomes apareceram na investigação: Danilo Marques, Marta Elias e Suelen de Oliveira.

A polícia passou a fazer um trabalho de campo para identificação dos moradores reais dos endereços. Assim, investigadores descobriram Walter Delgatti Neto como morador da casa vinculada a Danilo Marques e Gustavo Henrique como namorado de Suelen de Oliveira. Marta Elias, por sua vez, é mãe de Gustavo. Delgatti, Suelen, Danilo e Gustavo estão presos desde a semana passada. Segundo a Justiça, há fortes indícios de que eles atuaram juntos para promover os ataques. Delgatti, contudo, afirmou que agiu sozinho.

Veja também

Bolsonaro adota a tática do 'morde e assopra' para manter Guedes
Ministério da Economia

Bolsonaro adota a tática do 'morde e assopra' para manter Guedes

Bolsonaro escanteia seus rivais e fideliza evangélicos para 2022
ESTRATÉGIA

Bolsonaro escanteia seus rivais e fideliza evangélicos para 2022