PF fez ‘ação controlada’ para apurar caso hacker
Investigação começou uma hora após Moro ter o celular invadido, mostram documentos
A investigação sobre o grupo suspeito de hackear autoridades do País – e que levou à prisão de seis pessoas até agora na Operação Spoofing – começou uma hora após a invasão do aparelho celular do ministro da Justiça, Sérgio Moro. Segundo documentos a que o Estado teve acesso, às 18h45 do dia 4 de junho foi realizada uma reunião de emergência na sede do Ministério da Justiça, em Brasília, para tratar do caso. Moro percebeu que sua conta no aplicativo de troca de mensagens Telegram havia sido invadida por volta das 17h40 daquele dia.
Relatórios e perícias mostram a movimentação da Polícia Federal e do setor de inteligência do Ministério da Justiça no caso. De acordo com esses documentos, a investigação foi oficialmente aberta no próprio gabinete do ministro, onde ele estava quando detectou o ataque hacker. Moro havia acabado de chegar de uma reunião com outros ministros no Palácio do Planalto.
Ainda segundo os documentos, às 19h07 do dia 4 de junho, as equipes de inteligência da PF e da área de Tecnologia da Informação do Ministério da Justiça tomaram uma primeira providência: manter contato com o hacker por meio do Telegram.
Foi, conforme relatórios, uma espécie de “ação controlada”, realizada do gabinete do ministro. A decisão foi tomada porque, durante a reunião de emergência no Ministério da Justiça, o diretor de Tecnologia da Informação da pasta, Rodrigo Lange, e a chefe de gabinete do ministério, Flávia Blanco, notaram que o número do celular de Moro aparecia com o status “online” no Telegram. Eles deduziram, portanto, que o hacker já estava utilizando o aplicativo de mensagens se passando por Moro.
Com o hacker “ativo”, a estratégia dos investigadores foi tentar identificar seu IP (a “identidade” do computador usado por ele) e, assim, localizá-lo. Lange enviou ao número de Moro, via Telegram, um link que direcionava para o site do Ministério da Justiça. A intenção era fazer o hacker acessar o link, o que poderia ajudar a identificar o IP. A tentativa não teve sucesso.
Identificação. Depois de alguns minutos, Flávia Blanco tentou contato com o hacker e encaminhou, novamente, um link direcionado para o site do ministério. Desta vez, no servidor da pasta, foi identificado um endereço de IP considerado atípico, da Rússia.
Num segundo momento, ainda durante a reunião, a equipe do ministério providenciou um novo celular para Moro reinstalar o aplicativo Telegram. No entanto, o invasor já tinha feito o “duplo fator de identificação”, um dispositivo de segurança que impossibilita qualquer alteração desse tipo.
A equipe do ministro desligou o aparelho celular e retirou o chip. Moro relatou ao perito criminal Fabrício Dantas Brito que recebeu três ligações “atípicas de um número da TIM”, mas que apenas a primeira chamada foi atendida. Disse ainda que não fazia uso do Telegram há mais de dois anos. Com as informações, a PF produziu o primeiro relatório de inteligência sobre o caso dos hackers.
A Operação Spoofing já realizou duas fases. Na primeira, em julho, foram detidas quatro pessoas, entre elas Walter Delgatti Neto. Ele admitiu ser o responsável pelas invasões e por capturar mensagens de autoridades.