Nas operações para clonagem, os hackers fizeram 5.616 ligações
Folha
As ligações telefônicas para o ministro Sergio Moro (Justiça) e o bloqueio de um número de telefone usado por hackers foram fundamentais para a deflagração da Operação Spoofing, segundo relatório da Polícia Federal e investigadores. Em cerca de dez dias, o caso estava praticamente solucionado do ponto de vista técnico. Nesse período foi entendido como o ataque a autoridades da Lava Jato havia sido feito.
Assim, menos de dois meses depois de Moro ter sido vítima da invasão, a polícia prendeu quatro pessoas suspeitas de terem participado do ataque a contas do aplicativo Telegram de figuras públicas. Walter Delgatti Neto, Gustavo Henrique Elias Santos, Suelen de Oliveira e Danilo Cistiano Marques foram presos na última terça (23).
MIL ALVOS – Segundo a Justiça, estima-se que cerca de mil números tenham sido alvo do grupo. Delgatti disse em depoimento ter sido o autor dos ataques. Ele afirmou ter repassado de forma anônima, voluntária e sem custos parte do conteúdo copiado para o jornalista Glenn Greenwald, fundador do site The Intercept Brasil.
As reportagens com base em mensagens extraídas das contas de procuradores, publicadas também pela Folha, revelam bastidores da Lava Jato e constrangem os envolvidos na maior operação de combate à corrupção da história do país.
Quando começou a investigação sobre o ataque hacker, em 5 de junho, a Polícia Federal tinha basicamente uma informação: Moro havia recebido ligação de seu próprio número de telefone minutos antes de saber que tivera seu Telegram invadido. E já se descartava, logo de cara, a possibilidade de um programa espião ter sido instalado ou de que o invasor tivesse tido acesso físico ao aparelho.
LIGAÇÕES SIMULTÂNEAS –A partir daí, a polícia obteve dados de operadoras de telefonia que mostravam que o celular de Moro havia recebido uma ligação do Telegram — que informava um código de acesso ao aplicativo — antes daquela com seu próprio número.
A polícia também identificou uma série de chamadas ao ministro que foram feitas no mesmo instante da ligação do Telegram. Com essas informações, chegou à primeira conclusão: as ligações simultâneas eram a estratégia usada pelos hackers para que a chamada do Telegram caísse na caixa-postal. Com isso, a mensagem com o código de acesso ao aplicativo ficaria registrada no correio de voz.
E O ACESSO? – A apuração passou a tentar descobrir como o autor do golpe poderia ter acesso ao conteúdo gravado na caixa-postal. O padrão das ligações então fez com que se descobrisse uma vulnerabilidade na rede de telecomunicações: chamadas em que o número de origem era igual ao número de destino davam acesso ao correio de voz sem a necessidade de senha.
Também por meio de informações de operadoras de telefonia, a PF constatou que as chamadas desse tipo (mesmo número de origem e destino) foram feitas pela Claro através de rota de interconexão com outra operadora, a Datora.
Por meio de medidas cautelares, os investigadores conseguiram confirmar que uma empresa chamada Datora de fato transportou tais chamadas para o número do Moro. As ligações transportadas foram feitas com a tecnologia Voip, que funciona via internet, e realizadas pela empresa Megavoip. Ao criar uma conta no serviço que faz essas operações, o usuário ganha um ID (número).
IDENTIFICAÇÃO – Em 4 de julho, após determinação judicial, a Megavoip recebeu a PF e forneceu os acessos aos sistemas internos, para apuração e perícia.
A polícia conseguiu identificar que as chamadas feitas para o celular do ministro tinham sido feitas por um ID, registrado em nome de Anderson José da Silva. Partiram do mesmo ID, segundo a investigação, ligações destinadas para outras autoridades que tiveram contas atacadas. Após um deslize dos hackers, a PF conseguiu relacionar esse ID do suposto Anderson com um outro ID, registrado em nome de Marcelo Alexandre Thomaz.
A conta de ID ligada a Anderson foi bloqueada pela Megavoip, após pedido da empresa Datora, que informou ter recebido reclamações de chamadas suspeitas realizadas por ele. O outro ID, vinculado a Marcelo, entrou em contato para tentar reaver o ID bloqueado, se identificando como Anderson. Dessa forma, a relação entre os IDs foi estabelecida.
5.616 LIGAÇÕES – Assim, peritos identificaram que dois desses IDs realizaram 5.616 ligações em que o número de origem era igual o número de destino, relacionadas a 976 números diferentes — por esse motivo, a PF falou em um ataque a cerca de mil pessoas, entre elas autoridades. Ainda há uma análise em andamento sobre a atuação de um terceiro ID, também já identificado.
A PF percebeu que os dados dos clientes vinculados aos IDs não eram verdadeiros e que os nomes registrados não eram os das pessoas que de fato estavam utilizando o serviço.
Para saber quem eram os reais usuários, a política teve que ir atrás dos endereços de IP, espécie de CPF dos computadores, que foram atribuídos aos computadores e smartphones que se conectaram com a empresa Megavoip no momento dos ataques.
RESIDÊNCIAS – Três novos endereços de residências vinculados a três nomes apareceram na investigação: Danilo Marques, Marta Elias e Suelen de Oliveira.
A polícia passou a fazer um trabalho de campo para identificação dos moradores reais dos endereços. Assim, investigadores descobriram Walter Delgatti Neto como morador da casa vinculada a Danilo Marques e Gustavo Henrique como namorado de Suelen de Oliveira. Marta Elias, por sua vez, é mãe de Gustavo.
Delgatti, Suelen, Danilo e Gustavo estão presos desde a semana passada. Segundo a Justiça, há fortes indícios de que eles atuaram juntos para promover os ataques. Delgatti, contudo, afirmou que agiu sozinho.
Nenhum comentário:
Postar um comentário