Como agiram os suspeitos de invadir o celular de Moro, segundo investigação
A investigação da Polícia Federal (PF) que levou à prisão de quatro suspeitos de terem invadido celulares de autoridades, entre elas o ministro da Justiça, Sergio Moro, indica que o hackeamento ocorreu na conta do aplicativo de mensagens do Telegram, por meio da interceptação do envio de um código pelo aplicativo para sincronizá-lo fora do aparelho celular, em computadores.
O resultado da apuração da PF está na decisão que autorizou as prisões preventivas ontem, do juiz federal Vallisney de Souza Oliveira, que foi tornada pública nesta quarta-feira (24). Estão detidos em Brasília Walter Delgatti Neto, Danilo Cristiano Marques, Gustavo Henrique Elias Santos, e sua namorada, Suelen Priscila de Oliveira.
"Com efeito, há fortes indícios de que os investigados integram organização criminosa para a prática de crimes e se uniram para violar o sigilo telefônico de diversas autoridades públicas brasileiras via invasão do aplicativo Telegram", diz a decisão.
No entanto, não está claro ainda se os quatro presos têm relação com as conversas divulgadas pelo site The Intercept Brasil.
Moro disse que seu aparelho foi hackeado no dia 4 de junho, quando o invasor teria operado seu aplicativo de mensagens por seis horas.
Cinco dias depois, o Intercept Brasil iniciou a publicação de uma série de reportagens que mostram conversas privadas envolvendo Moro, quando ainda era juiz da 13ª vara de Curitiba, e procuradores da Lava Jato, entre eles o chefe da força-tarefa da operação, Deltan Dallagnol.
O veículo afirma ter recebido o material semanas antes de Moro ter divulgado que seu celular foi invadido.
No Twitter, no entanto, o atual ministro da Justiça relaciona as prisões desta terça-feira com as mensagens divulgadas pelo Intercept Brasil. "Parabenizo a Polícia Federal pela investigação do grupo de hackers, assim como o MPF e a Justiça Federal. Pessoas com antecedentes criminais, envolvidas em várias espécies de crimes. Elas, a fonte de confiança daqueles que divulgaram as supostas mensagens obtidas por crime", escreveu.
Como teria sido a invasão?
Segundo a polícia, os investigados usaram tecnologia VOIP (serviços de voz sobre IP), que permite a realização de ligações via computadores, telefones convencionais ou celulares de qualquer lugar do mundo.
O serviço utilizado no caso foi prestado pela microempresa BRVOZ, aponta a investigação. Por meio desse serviço, diz a decisão, "o cliente/usuário da BRVOZ utilizando a função 'identificador de chamadas' pode realizar ligações telefônicas simulando o número de qualquer terminal telefônico como origem das chamadas".
Com essa tecnologia, os investigados teriam solicitado o código de acesso para ativar o serviço Telegram Web (uso do aplicativo de conversas no computador) por meio de ligação telefônica.
O invasor, então, teria realizado diversas ligações para o número de Sergio Moro, com objetivo de manter a linha ocupada, para que a ligação contendo o código de ativação do serviço Telegram Web fosse direcionada para a caixa postal da vítima.
O ministro havia relatado ter recebido ligações de seu próprio número no dia 4 de junho, o que pode configurar essa tentativa de bloquear a linha.
O uso desse mesma tecnologia permite que sejam feitas ligações para a caixa postal, com o uso simulado da linha telefônica da vítima. Com isso, é possível ouvir a mensagem enviada pelo Telegram com o código para acesso no computador.
Segunda a decisão judicial, a PF passou, então, a "verificar as rotas e interconexões das ligações efetuadas para o telefone que era utilizado pelo Sr. Ministro da Justiça e Segurança Pública, notadamente das ligações que foram originadas do próprio número telefônico da vítima".
Direito de imagem ABR - Juiz federal Vallisney de Souza Oliveira não cita Dallagnol como um dos possíveis alvos da ação criminosa de presos da Operação Spoofing
"Assim identificou-se a rota de interconexão com a operadora Datora Telecomunicações Ltda que transportou as chamadas destinadas ao número do Sr. Ministro Sérgio Moro, após ter recebido as chamadas através da rota de interconexão baseada em tecnologia VOIP", continua a decisão.
Após a análise do sistema da BRVOZ, a PF identificou que todas as ligações efetuadas para o telefone de Moro partiram do usuário cadastrado em nome de Anderson José da Silva.
Essa foi também a origem de ligações destinadas a outras autoridades públicas que tiveram o aplicativo Telegram invadido de forma ilícita, como o desembargador Abel Gomes (Tribunal Regional Federal da 2a Região), que julga casos da Lava Jato no Rio de Janeiro na segunda instância judicial, além do juiz federal Flávio Lucas (18a Vara Federal do Rio de Janeiro) e os delegados de Polícia Federal Rafael Fernandes (SR/PFISP) e Flávio Vieitez Reis (DPF/CAS/SP).
Os suspeitos presos
A investigação identificou ainda que "os clientes BRVOZ" realizaram 5.616 ligações em que o número de origem era igual ao número de destino.
"Leio, na decisão do Juiz, a referência a 5.616 ligações efetuadas pelo grupo com o mesmo modus operandi e suspeitas, portanto, de serem hackeamentos. Meu terminal só recebeu três. Preocupante", escreveu Moro no Twitter.
Os quatro presos são Walter Delgatti Neto, Danilo Cristiano Marques, Gustavo Henrique Elias Santos, e sua namorada, Suelen Priscila de Oliveira. Para chegar aos quatro suspeitos, a PF analisou os IPs (protocolos de internet) atribuídos aos dispositivos (computador ou smartphone) que se conectaram ao VOIP da empresa BRVOZ. Os endereços dos usuários desses IPs foram descobertos por meio dos registros cadastrais fornecidos pelos provedores de internet.
"As prisões temporárias dos investigados são essenciais para colheita de prova que por outro meio não se obteria, porque é feita a partir da segregação e cessação de atividades e comunicação dos possíveis integrantes da organização criminosa, podendo-se com isso partir-se, sendo o caso, para provas contra outros membros da organização e colheita de depoimentos de testemunhos sem a influência ou interferência prejudicial dos indiciados", justificou o juiz.
Um relatório de informações financeiras apontou movimentações suspeitas de Gustavo Santos e Suelen Oliveira. Segundo a PF, ele movimentou em sua conta bancária R$ 424 mil entre 18 de abril e 29 de junho deste ano, enquanto em seu cadastro no banco conste a renda mensal de R$ 2.866.
Já Oliveira movimentou R$ 203,5 mil entre sete de março e 29 de maio, tendo renda mensal cadastrada de R$ 2.192.
Por causa dessas movimentações, a decisão judicial autorizou a quebra de sigilo bancário dos quatro suspeitos para "realizar o rastreamento dos recursos recebidos ou movimentados pelos investigados e de averiguar eventuais patrocinadores das invasões ilegais dos dispositivos informáticos (smartphones)".
O juiz autorizou, ainda, a quebra do sigilo nas comunicações dos quatro por emails.
