PF fez "ação controlada" para apurar caso do hacker de Moro

A investigação sobre o grupo suspeito de hackear autoridades do país - e que levou à prisão de seis pessoas até agora na Operação Spoofing - começou uma hora após a invasão do aparelho celular do ministro da Justiça, Sergio Moro .

Segundo documentos a que o jornal O Estado de S. Paulo teve acesso, às 18h45 do dia 4 de junho foi realizada uma reunião de emergência na sede do Ministério da Justiça , em Brasília, para tratar do caso. Moro percebeu que sua conta no aplicativo de troca de mensagens Telegram havia sido invadida por volta das 17h40 daquele dia.

Relatórios e perícias mostram a movimentação da Polícia Federal e do setor de inteligência do Ministério da Justiça no caso. De acordo com esses documentos, a investigação foi oficialmente aberta no próprio gabinete do ministro, onde ele estava quando detectou o ataque hacker. Moro havia acabado de chegar de uma reunião com outros ministros no Palácio do Planalto.

Ainda segundo os documentos, às 19h07 do dia 4 de junho, as equipes de inteligência da PF e da área de Tecnologia da Informação do Ministério da Justiça tomaram uma primeira providência: manter contato com o hacker por meio do Telegram. Foi, conforme relatórios, uma espécie de "ação controlada", realizada do gabinete do ministro.

A decisão foi tomada porque, durante a reunião de emergência no Ministério da Justiça, o diretor de Tecnologia da Informação da pasta, Rodrigo Lange, e a chefe de gabinete do ministério, Flávia Blanco, notaram que o número do celular de Moro aparecia com o status "online" no Telegram. Eles deduziram, portanto, que o hacker já estava utilizando o aplicativo de mensagens se passando por Moro.

Com o hacker "ativo", a estratégia dos investigadores foi tentar identificar seu IP (a "identidade" do computador usado por ele) e, assim, localizá-lo. Lange enviou ao número de Moro, via Telegram, um link que direcionava para o site do Ministério da Justiça. A intenção era fazer o hacker acessar o link, o que poderia ajudar a identificar o IP. A tentativa não teve sucesso.

Identificação

Depois de alguns minutos, Flávia Blanco tentou contato com o hacker e encaminhou, novamente, um link direcionado para o site do ministério. Desta vez, no servidor da pasta, foi identificado um endereço de IP considerado atípico, da Rússia.

Num segundo momento, ainda durante a reunião, a equipe do ministério providenciou um novo celular para Moro reinstalar o aplicativo Telegram. No entanto, o invasor já tinha feito o "duplo fator de identificação", um dispositivo de segurança que impossibilita qualquer alteração desse tipo.

A equipe do ministro desligou o aparelho celular e retirou o chip. Moro relatou ao perito criminal Fabrício Dantas Brito que recebeu três ligações "atípicas de um número da TIM", mas que apenas a primeira chamada foi atendida. Disse ainda que não fazia uso do Telegram há mais de dois anos. Com as informações, a PF produziu o primeiro relatório de inteligência sobre o caso dos hackers.

A Operação Spoofing já realizou duas fases. Na primeira, em julho, foram detidas quatro pessoas, entre elas Walter Delgatti Neto. Ele admitiu ser o responsável pelas invasões e por capturar mensagens de autoridades. As informações são do jornal O Estado de S. Paulo.