As ligações telefônicas para o ministro Sérgio Moro (Justiça) e o bloqueio de um número de telefone usado por hackers foram fundamentais para a deflagração da Operação Spoofing, segundo relatório da PF (Polícia Federal) e investigadores. O erro foi o que levou à identificação e prisão dos suspeitos.
Em cerca de dez dias, o caso estava praticamente solucionado do ponto de vista técnico. Nesse período foi entendido como o ataque a autoridades da Lava-Jato havia sido feito.
Menos de dois meses depois de Moro ter sido vítima da invasão, a polícia prendeu quatro pessoas suspeitas de terem participado do ataque a contas do aplicativo Telegram de figuras públicas. Walter Delgatti Neto, Gustavo Henrique Elias Santos, Suelen de Oliveira e Danilo Cistiano Marques foram presos no dia 23.
Segundo a Justiça, estima-se que cerca de mil números tenham sido alvo do grupo.
Delgatti disse em depoimento ter sido o autor dos ataques. Ele afirmou ter repassado de forma anônima, voluntária e sem custos parte do conteúdo copiado para o jornalista Glenn Greenwald, fundador do site The Intercept Brasil.
As reportagens com base em mensagens extraídas das contas de procuradores revelam bastidores da Lava-Jato e constrangem os envolvidos na maior operação de combate à corrupção da história do país.
Quando começou a investigação sobre o ataque hacker, em 5 de junho, a Polícia Federal tinha basicamente uma informação: Moro havia recebido ligação de seu próprio número de telefone minutos antes de saber que tivera seu Telegram invadido.
Já se descartava, logo de cara, a possibilidade de um programa espião ter sido instalado ou de que o invasor tivesse tido acesso físico ao aparelho.
Em um primeiro momento, investigadores avaliaram que não seria necessário fazer perícia no celular, mas depois a consideraram determinante.
A partir daí, a polícia obteve dados de operadoras de telefonia que mostravam que o celular de Moro havia recebido uma ligação do Telegram —que informava um código de acesso ao aplicativo— antes daquela com seu próprio número.
A polícia também identificou uma série de chamadas ao ministro que foram feitas no mesmo instante da ligação do Telegram.
Com essas informações, chegou à primeira conclusão: as ligações simultâneas eram a estratégia usada pelos hackers para que a chamada do Telegram caísse na caixa-postal. Com isso, a mensagem com o código de acesso ao aplicativo ficaria registrada no correio de voz.
A apuração passou a tentar descobrir como o autor do golpe poderia ter acesso ao conteúdo gravado na caixa-postal.
O padrão das ligações fez com que se descobrisse uma vulnerabilidade na rede de telecomunicações: chamadas em que o número de origem era igual ao número de destino davam acesso ao correio de voz sem a necessidade de senha.
Também por meio de informações de operadoras de telefonia, a PF constatou que as chamadas desse tipo (mesmo número de origem e destino) foram feitas pela Claro através de rota de interconexão com outra operadora, a Datora.
Por meio de medidas cautelares, os investigadores conseguiram confirmar que uma empresa chamada Datora de fato transportou tais chamadas para o número do Moro. As ligações transportadas foram feitas com a tecnologia Voip, que funciona via internet, e realizadas pela empresa Megavoip. Ao criar uma conta no serviço que faz essas operações, o usuário ganha um ID (número).
Em 4 de julho, após determinação judicial, a Megavoip recebeu a PF e forneceu os acessos aos sistemas internos, para apuração e perícia.
A polícia conseguiu identificar que as chamadas feitas para o celular do ministro tinham sido feitas por um ID, registrado em nome de Anderson José da Silva. Partiram do mesmo ID, segundo a investigação, ligações destinadas para outras autoridades que tiveram contas atacadas. Após um deslize dos hackers, a PF conseguiu relacionar esse ID do suposto Anderson com um outro ID, registrado em nome de Marcelo Alexandre Thomaz.
A conta de ID ligada a Anderson foi bloqueada pela Megavoip, após pedido da empresa Datora, que informou ter recebido reclamações de chamadas suspeitas realizadas por ele.
O outro ID, vinculado a Marcelo, entrou em contato para tentar reaver o ID bloqueado, se identificando como Anderson. Dessa forma, a relação entre os IDs foi estabelecida.
Assim, peritos identificaram que dois desses IDs realizaram 5.616 ligações em que o número de origem era igual o número de destino, relacionadas a 976 números diferentes —por esse motivo, a PF falou em um ataque a cerca de mil pessoas, entre elas autoridades.
Ainda há uma análise em andamento sobre a atuação de um terceiro ID, também já identificado.