Como a PF chegou aos quatro amigos “hackers” de Araraquara. Por Claudio Dias

Publicado na Cidade On

Os supostos “hackers” da Lava Jato

POR CLAUDIO DIAS

Araraquara ficou em evidência total em todo o País nesta terça-feira, dia 24, depois da deflagração da Operação Spoofing, cujo objetivo foi desarticular organização criminosa que praticava crimes cibernéticos. E o motivo não é agradável: dos quatro mandados de prisão temporária expedidos pelo juiz federal Vallisney de Souza Oliveira, da 10ª Vara Criminal do Distrito Federal, por suspeita de envolvimento aos ataques a telefones celulares de autoridades ligadas ao Governo Federal e à Operação Lava Jato, entre elas, o atual ministro da Justiça e da Segurança Pública, Sérgio Moro, vítima de acesso ilegal no aplicativo Telegram, todos os suspeitos são pessoas de Araraquara e estão presos. A Justiça Federal retirou o sigilo do caso e mostrou como chegou aos suspeitos.

Além de Gustavo Henrique Elias Santos, de 28 anos, e da mulher dele, Suelen Priscila de Oliveira, 25, presos em São Paulo, também estão detidos na Superintendência Federal, em Brasília, Walter Delgatti Neto, mais conhecido como ‘Vermelho’, de 30 anos. O quarto envolvido é Danilo Cristiano Marques, amigo de Delgatti e que já foi testemunha dele em dois processos.

Gustavo e Suellen têm o mesmo advogado, Ariovaldo Moreira. Uma curiosidade é que no apartamento deles, em São Paulo, os agentes federais apreenderam R$ 100 mil em espécie. “Ele é DJ e opera bitcoins e ele prova a origem do dinheiro”, disse Ariovaldo Moreira. Ele não soube dizer porque o DJ tinha o montante no apartamento”, diz o advogado. Ele também disse que, em uma primeira conversa com os clientes, hoje pela manhã, em Brasília, Gustavo teria confirmado ter visto algumas mensagens relacionadas ao Telegram no aparelho do amigo, Walter Delgatti. Essas informações serão passadas agora à tarde ao delegado Luiz Flávio Zampronha, que preside o inquérito.

Sigilo do processo

Justiça Federal retirou o sigilo do processo nesta quarta-feira. No documento, mostra que os ataques teriam partido de três IPs: dentro de um apartamento no primeiro andar na Avenida Leão XIII, n° 1700, na Ribeirania, em Ribeirão Preto; em outro apartamento, mas na Rua Enga Amália Pérola Casab, n° 415, no Parque Munhoz, em São Paulo e também em uma casa na Rua Maria do Carmo Granato, no Jardim Roberto Selmi Dei, em Araraquara.

Esses três locais, além dos endereços dos suspeitos, foram os alvos dos mandados de busca e apreensão e prisão expedidos pela Justiça Federal nesta terça-feira, dia 23. Na decisão judicial foi liberada ainda a quebra do sigilo das contas de e-mail utilizadas pelos investigados, o afastamento do sigilo bancário de 1º de janeiro até 17 de julho deste ano, bem como o bloqueio de ativos financeiros em valores acima de RS 10 mil.

De acordo com a denúncia, a PF concluiu que o invasor teve acesso ao código enviado pelos servidores do aplicativo Telegram para a sincronização do serviço Telegram Web relativo às contas invadidas. É que o Telegram permite que o usuário solicite o código de acesso via ligação telefônica com posterior envio de chamada de voz contendo o código para ativação do serviço Web, cuja mensagem fica gravada na caixa postal das vítimas.

O invasor, então, realizava diversas ligações para o número alvo para que a linha fique ocupada, e a ligação contendo o código de ativação do serviço Telegram Web é direcionada para a caixa postal da vítima. A PF, então, resolveu verificar as rotas e interconexões das ligações efetuadas para o telefone que era utilizado por Sérgio Moro [já ciente de que o sistema permite a edição de números telefônicos através de serviços de voz sobre IP (VOIP) ou por aplicativos com a modificação do número chamador].

Assim identificou-se a rota de interconexão com a operadora Datora Telecomunicações Ltda que transportou as chamadas destinadas ao número do ministro Sérgio Moro. Essas chamadas foram feitas através da rota baseada em tecnologia VOIP – que permite a realização de ligações via computadores, telefones convencionais ou celulares de qualquer lugar do mundo (serviço prestado pela microempresa BRVOZ).

Resumindo: a PF descobriu que todas as ligações feitas para o telefone utilizado por Moro partiram do usuário cadastrado no sistema BRVOZ e registrado em nome de Anderson [um nome fictício]. Deste também partiram as demais ligações destinadas a outras autoridades públicas que tiveram o aplicativo Telegram invadido de forma ilícita. Foram realizadas 5.616 ligações em que o número de origem era igual ao número de destino.

Pelos IPs atribuídos aos dispositivos (computador ou smartphone) que se conectaram ao VOIP da empresa BRVOZ foram identificados os amigos de Araraquara: Danilo, Suellen e a mãe de Gustavo [que nada tinha a ver com o fato, mas era quem morava no endereço]. Bastava identificar quem morava em cada canto. Como o grupo já tinha se envolvido em outros crimes (como autores ou testemunhas), a PF pediu e a Justiça Federal autorizou a prisão temporária dos quatro amigos para apurar essa ligação.

Movimentação bancária suspeita 

O pedido da PF também sugere a quebra do sigilo bancário e bloqueio de ativos financeiros pela movimentação bancária dos suspeitos. E um dos casos chamou a atenção. Até outro dia morador do Selmi Dei, Gustavo, por exemplo, movimentou em sua conta no Banco Original, entre os dias 18 de abril de 2018 e 29 de junho do ano passado, o montante de R$ 424 mil, sendo que em seu cadastro bancário consta a renda mensal de R$ 2.866.

A mulher dele, Suelen, segundo as mesmas informações, movimentou em sua conta no Banco Original a quantia de R$ 203.560 entre 7 de março e 29 de maio deste ano, sendo que em seu cadastro Consta a renda mensal de R$ 2.192. “Diante da incompatibilidade entre as movimentações financeiras e a renda mensal de Gustavo e Suelen, faz-se necessário realizar o rastreamento dos recursos recebidos ou movimentados pelos investigados e de averiguar eventuais patrocinadores das invasões ilegais dos dispositivos informáticos (smartphones).”

A invasão 

Era início de junho deste ano, quando Sérgio Moro atendeu a uma ligação de um número igual ao dele tocando no seu celular. Isso permitiu o acesso ilegal ao aplicativo Telegram, que ele não usava mais. Diante da possibilidade de clonagem do número, a linha foi abandonada. Mas, o que aparentemente ninguém sabia é que com o número de Moro, os hackers teriam tido acesso a conta do ministro no Telegram.

Paralelo a isso, pouco depois, o site The Intercept Brasil recebeu um pacote de mensagens atribuídas justamente ao ministro que foi o responsável por várias condenações judiciais quando ainda era juiz federal durante a Operação Lava-Jato. Desde 9 de junho, o site passou a divulgar as conversas privadas no Telegram apontando uma colaboração entre o então juiz e o procurador responsável pela Força Tarefa, Deltan Dallagnol, ainda em Curitiba.

Diálogos mantidos no auge das investigações da Lava Jato teriam colocando em xeque a imparcialidade de Moro, que apareceria aconselhando a acusação, segundo a denúncia proposta pela reportagem da época. Moro e Dallagnol nunca confirmaram a autenticidade das mensagens que também passaram a ser expostas e trabalhadas por outros veículos de comunicação. Em razão delas, Moro chegou até a falar sobre o assunto no Congresso Nacional.

O jornalismo do DCM precisa de você para continuar marcando ponto na vida nacional. Faça doação para o site. Sua colaboração é fundamental para seguirmos combatendo o bom combate com a independência que você conhece. A partir de R$ 10, você pode fazer a diferença. Muito Obrigado!