RIO e BRASÍLIA — A Polícia Federal e o Ministério Público Federal (MPF) têm indícios de que o ataque hacker que expôs mensagens privadas do juiz Sergio Moro e de procuradores foi muito bem planejado e teve alcance bem mais amplo do que se sabe até agora. Entre os alvos dos criminosos, estiveram integrantes das forças-tarefas da Operação Lava-Jato de ao menos três estados (Rio, Paraná e Distrito Federal), delegados federais de São Paulo, magistrados do Rio e de Curitiba.

Além do atual ministro da Justiça e do procurador Deltan Dallagnol, foram alvo de ataques a juíza substituta da 13ª Vara Federal Gabriela Hardt (que herdou processos de Moro temporariamente quando ele deixou o cargo), o desembargador Abel Gomes (relator da segunda instância da Lava-Jato no Rio), o juiz Flávio de Oliveira Lucas, do Rio, o ex-procurador-geral da República Rodrigo Janot, os procuradores Januário Paludo, Paulo Galvão, Thaméa Danelon, Ronaldo Pinheiro de Queiroz, Danilo Dias, Eduardo El Haje, Andrey Borges de Mendonça, Marcelo Weitzel e o jornalista do GLOBO Gabriel Mascarenhas. Outros dois procuradores, ambos ex-auxiliares de Janot, relataram ao GLOBO também terem sido vítimas de ataques de hackers, mas pediram para não terem os nomes publicados.

ANÁLISE: A volta da Lava-Jato à arena política

Em nota, a Justiça Federal confirmou que a substituta de Moro foi atingida e disse que o fato foi "imediatamente comunicado à Polícia Federal". Segundo o texto, "a juíza não verificou informações pessoais sensíveis que tenham sido expostas".

A força-tarefa da Lava-Jato em São Paulo confirmou que dois procuradores sofreram tentativa de invasão de seus celulares em maio, mas o ataque foi percebido e bloqueado. Na época, os dois já não integravam a força tarefa.

Na força-tarefa da Lava-Jato no Rio, integrantes também evitaram a invasão, já que tinham controles mais rígidos, em especial a verificação em duas etapas para acesso remoto ao aplicativo Telegram.

As mensagens atribuídas a Moro e Deltan indicam uma atuação combinada em determinados momentos da Lava-Jato, inclusive no processo que resultou na condenação do ex-presidente Lula, expondo a operação a inédito desgaste.

LEIA:Especialistas divergem sobre consequências da divulgação das mensagens

Mesmo após a revelação do caso, o esquema criminoso continua em atuação. Na noite de terça-feira, um hacker entrou em contato com José Robalinho, ex-presidente da Associação Nacional de Procuradores, se fazendo passar pelo procurador militar Marcelo Weitzel, que teve seu celular invadido, como revelou a revista Época.

INFOGRÁFICO: Todas as fases da Operação Lava-Jato

Em meio à crise deflagrada pelos ataques, procuradores discutem entre si as mais variadas teses sobre as origens dos ataques. Alguns levantam suspeitas até sobre invasões de origem russa, o que não está comprovado. Mas, se os autores ainda são desconhecidos, entre os alvos prevalece a ideia de que as invasões são uma ação orquestrada contra a Lava-Jato.

Ação profissional

A Polícia Federal investiga os ataques dos hackers com duas turmas de agentes e delegados, em quatro cidades. A Procuradoria-Geral da República também abriu um procedimento para acompanhar o trabalho da polícia. A apuração desse tipo de crime é tida como complexa, e o prazo para conclusão das investigações será longo, prevê a cúpula da PF.

LAURO JARDIM:Como será a investigação da PF

As suspeitas iniciais apontam para um mandante com capacidade financeira para bancar o esquema aparentemente sofisticado de ação. Uma das hipóteses é a de utilização de equipamentos que custam entre US$ 2 milhões e US$ 3 milhões, segundo uma fonte da cúpula da PF ouvida pelo GLOBO. Há diversas empresas sediadas no leste europeu e no Oriente Médio que oferecem estes serviços por esses valores.

Por outro lado, chamou a atenção o fato de o suposto hacker ter feito piada na terça-feira com um dos alvos. Numa das mensagens, o invasor afirmou que é apenas um "técnico de TI" (Tecnologia da Informação), sem objetivos partidários.

Segundo os relatos das vítimas e apurações do Ministério Público Federal, o esquema funciona em três etapas:

O hacker descobre o número do celular da vítima e o utiliza para solicitar, via desktop, a abertura de nova sessão do Telegram. Imediatamente, o aplicativo encaminha para a vítima o código de acesso, via SMS, achando que o pedido foi feito pelo dono da conta; O clonador adquire um número de celular, geralmente em países onde há pouca fiscalização, e o utiliza para ligar para a vítima, depois de ter solicitado o código de acesso. Por alguma técnica ainda desconhecida, a vítima, ao atender, permite que o clonador capture todo o conteúdo do SMS, incluindo o código de acesso ao Telegram; Com esse código, o hacker acessa o Telegram através de seu PC e pode ver todas as conversas da vítima, entre as quais as de grupos. Isso porque os diálogos pretéritos ficam guardados no aplicativo. O hacker pode fazer um backup de todos os arquivos, mídias e conversas da vítima e/ou pode se passar por ela perante terceiros no aplicativo, dialogando etc.

Passo a passo de um ataque Segundo apuração do MPF, hacker fazia telefonemas para obter dados de celulares .1 Após descobrir o número de celular da vítima, o hacker faz seu uso para solicitar a abertura de uma sessão do Telegram no computador. O serviço gera um código de acesso, enviado via SMS para o celular correspondente O Telegram solicita o número de celular para fornecer código de acesso .2 O hacker telefona para a vítima, eventualmente usando um número de celular de um país estrangeiro (com menor fiscalização), depois de solicitar o código de acesso do Telegram .3 Por alguma técnica ainda indeterminada, o hacker consegue capturar todo o conteúdo de SMS no celular da vítima assim que a ligação é atendida, incluindo o código de acesso. Uma brecha no chamado "protocolo SS7" de telefonia, por exemplo, tornaria números clonados vulneráveis à interceptação de dados como textos, chamadas e dados de localização .4 Após obter o código de acesso, o hacker pode acessar o Telegram da vítima normalmente através de seu computador e ver todas as conversas pretéritas, caso não estejam protegidas por uma configuração especial do aplicativo, inclusive diálogos em grupos .5 O hacker consegue fazer um backup para armazenar consigo todos os arquivos, mídias e conversas da vítima, e também pode se passar por ela em diálogos com terceiros Passo a passo de um ataque Segundo apuração do MPF, hacker fazia telefonemas para obter dados de celulares .1 O Telegram solicita o número de celular para fornecer código de acesso Após descobrir o número de celular da vítima, o hacker faz seu uso para solicitar a abertura de uma sessão do Telegram no computador. O serviço gera um código de acesso, enviado via SMS para o celular correspondente .2 O hacker telefona para a vítima, eventualmente usando um número de celular de um país estrangeiro (com menor fiscalização), depois de solicitar o código de acesso do Telegram .3 Por alguma técnica ainda indeterminada, o hacker consegue capturar todo o conteúdo de SMS no celular da vítima assim que a ligação é atendida, incluindo o código de acesso. Uma brecha no chamado "protocolo SS7" de telefonia, por exemplo, tornaria números clonados vulneráveis à interceptação de dados como textos, chamadas e dados de localização .4 Após obter o código de acesso, o hacker pode acessar o Telegram da vítima normalmente através de seu computador e ver todas as conversas pretéritas, caso não estejam protegidas por uma configuração especial do aplicativo, inclusive diálogos em grupos .5 O hacker consegue fazer um backup para armazenar consigo todos os arquivos, mídias e conversas da vítima, e também pode se passar por ela em diálogos com terceiros

Os integrantes do MPF só deram conta do tamanho da ação depois da divulgação dos diálogos de Moro com os membros da força-tarefa de Curitiba. Para o golpe ter êxito, desconfiam, é preciso da conivência de alguém dentro das operadoras de telefonia, uma vez que o acesso é dado no momento em que a vítima atende a ligação. Alguns dos números usados pelo esquema já foram repassados à Polícia Federal.

O problema, apuraram, seriam uma brecha denominada pelas operadoras de "Falha SS7". Embora aplicativos como o WhatsApp e a Telegram ofereçam criptografia ponta a ponta para evitar que suas mensagens sejam interceptadas, ambos usam o número de celular do usuário para funcionar, e isto abre a guarda para os ataques. A fraude do SS7 permite que qualquer pessoa com acesso à rede de telecomunicações envie e receba mensagens celulares específicas, com alguns ataques que permitem aos hackers interceptar textos, chamadas e dados de localização.

O início dos ataques

A série de invasões teve início, até onde se sabe no momento, em 24 de abril. No primeiro dia de aposentadoria, Janot voltou mais cedo para casa aborrecido com uma série de ligações e mensagens esquisitas que tinha recebido ao longo do dia. Alguns telefonemas tinham partido do próprio número do ex-procurador. Por volta das 22 horas, o telefone celular voltou a tocar.

— Diga aí — disse um procurador, amigo de Janot, do outro lado da linha.

— Diga aí você, que está me ligando — respondeu o ex-procurador-geral, estranhando a abordagem do colega.

— Estou ligando porque você está me pedindo dados que eu já te passei — respondeu Janot.

— Estou estou te pedindo dados ?? — questionou Janot.

Antes de terminar a frase, os dois perceberam que estavam sendo vítimas de um ataque quase simultâneo de um mesmo hacker. O estranho, que tinha ligado várias vezes durante o dia para Janot, estava usando a conta do Telegram do ex-procurador-geral para conversar com um outro procurador. O invasor estava em busca da senha do Twitter do ex-procurador-geral.

Para demonstrar intimidade, o invasor chamou o amigo de Janot pelo diminutivo, exatamente como o ex-procurador-geral faz. O procurador, que ajudou Janot a abrir uma conta no Twitter, só não deu a resposta que o hacker queria porque ele e o ex-procurador-geral tinham conversado sobre o assunto dias antes.

No meio da confusão, o procurador interrompeu a conversa com o hacker e orientou Janot a não mais atender ligação e nem abrir mensagens para mudar códigos da Apple, do Telegram ou de outros aplicativos.

Outros casos

Outros integrantes da Lava-Jato relataram ataques semelhantes. Na noite de 6 de maio, por volta das 20h30, a procuradora Thaméa Danelon recebeu uma ligação de um desconhecido. Depois, veio outro telefonema, desta vez do próprio número e, em seguida, uma mensagem com a informação de que uma nova sessão do Telegram dela estava sendo aberta. Ela deveria confirmar se era ela mesma quem estava usando o aplicativo.

— Derrubei a sessão quatro vezes — disse Thaméa, ex-coordenadora da Lava-Jato em São Paulo.

Momentos depois, ela recebeu uma ligação do subprocurador-geral Nicolao Dino

— Desculpe, não pude atender quando você ligou porque estava em sala de aula — disse Dino ao explicar por que não respondeu a uma chamada da colega.

A procuradora disse que não haveria motivos para desculpas porque ela não tinha tentado falar com ele naquela noite. A partir daí, surgiu a suspeita de que o telefone do subprocurador-geral também fora invadido.

Também no mês passado, o hacker tentou invadir o celular de Ronaldo Queiroz, ex-chefe de gabinete substituto de Janot.

Experiente na investigação de crimes ligados à internet, Queiroz entendeu na hora o que estava acontecendo: bloqueou a ação do hacker e formatou o celular, ou seja, restaurou o padrão de fábrica e apagou todo o arquivo armazenado no equipamento.

Outro alvo dos ataques, o coordenador da força-tarefa no Rio, Eduardo El Haje, também reagiu rapidamente e impediu que seu celular fosse utilizar pelo invasor.

Já em Curitiba, o colega Paulo Galvão demorou a perceber que estava sendo vítima de um golpe. O procurador teria recebido a ligação do meio da noite e, sem se atentar para o risco, concordou com as sugestões do hacker. Quando se deu conta, o invasor já teria invadido o celular. Não se sabe se o hacker teve ou não tempo de copiar os dados.

Nem todos os procuradores alvos de ataque relataram o caso à polícia.

(Colaboraram Cleide Carvalho, Gustavo Schmitt e Bela Megale)