Investigação começou uma hora após hackers invadirem celular de Moro

Às 18h45 do dia 4 de junho de 2019 teve início uma reunião de emergência na sede do Ministério da Justiça e da Segurança Pública, em Brasília. Uma hora antes, a conta do ministro Sergio Moro no aplicativo de troca de mensagens Telegram havia sido alvo de um ataque hacker.

Quando percebeu que teve o celular invadido, Moro estava em seu gabinete, no quarto andar do Palácio da Justiça, o prédio projetado por Oscar Niemeyer que sedia a pasta. Ele havia acabado de chegar de uma reunião com ministros no Palácio do Planalto.

O Estado teve acesso a documentos inéditos que narram como foi o dia da invasão do celular do ministro. São perícias e relatórios que demonstram toda a movimentação da Polícia Federal e do setor de inteligência do ministério em torno do caso.

Segundo esses documentos, a investigação que prendeu os responsáveis por invadir o celular de autoridades do país foi oficialmente iniciada ali mesmo, no gabinete do ministro, menos de uma hora após ser constatada invasão em seu celular.

A agilidade com que Moro convocou a PF para entrar no caso, como mostram esses mesmos documentos, foi fundamental para o sucesso das duas fases da Operação Spoofing. Até agora, seis pessoas foram presas, incluindo Walter Delgatti Neto, que afirmou ser responsável pelas invasões e por capturar mensagens pessoais de procuradores da Lava Jato.

Segundo os documentos, Moro recebeu as primeiras evidências de que era alvo de um ataque hacker às 17h40. Uma hora e 27 minutos depois, às 19h07, as equipes de inteligência da Polícia Federal e de Tecnologia da Informação do Ministério da Justiça tomavam a primeira providência no caso: manter contato com o hacker por meio do Telegram.

Foi uma espécie de ação controlada, realizada ali mesmo, do gabinete do ministro. A decisão foi tomada porque, durante a reunião (iniciada uma hora após a invasão), o diretor de Tecnologia da Informação do Ministério da Justiça, Rodrigo Lange, e a chefe de gabinete da pasta, Flávia Blanco, perceberam que o número do celular do ministro estava aparecendo com o “status online” no aplicativo Telegram. Eles deduziram, portanto, que o hacker já estava utilizando o aplicativo de mensagens se passando por Moro.

A estratégia dos investigadores era aproveitar que o hacker estava online para identificar seu IP (uma espécie de Carteira de Identidade do computador usado por ele) e, dessa forma, tentar localizá-lo. A primeira tentativa foi feita por Rodrigo Lange. Ele encaminhou, do seu próprio Telegram, um link ao número do ministro que estava direcionado para o site da pasta. A intenção era fazer o hacker clicar, o que poderia ajudar a identificar o IP. O invasor, porém, não mordeu a isca.

Depois de alguns minutos, Flávia Blanco também tentou contato com o hacker. Ela lançou mão da mesma estratégia de enviar um link direcionado para o site do ministério. No servidor da pasta, desta vez, foi identificado um endereço de IP considerado atípico, da Rússia. A equipe do Ministério da Justiça, Moro e os membros da PF comemoraram, pois entenderam que o hacker havia mordido a isca.

Num segundo momento, ainda durante a reunião, a equipe do ministério providenciou um novo celular para Moro poder reinstalar o aplicativo Telegram. Não deu certo. O invasor já tinha feito o “duplo fator de identificação”, um dispositivo de segurança que impossibilita qualquer alteração desse tipo.

A equipe do ministro desligou o aparelho celular e retirou o chip da TIM. Restou a Moro relatar todo o ocorrido ao perito criminal Fabrício Dantas Brito. Contou que recebeu três ligações “atípicas de um número da TIM”, mas que apenas a primeira chamada foi atendida. Contou ainda que não fazia uso do Telegram há mais de dois anos.

Com as informações, a Polícia Federal pode produzir, em tempo real, o primeiro relatório de inteligência sobre o caso dos hackers. Os documentos serviram de base para as operações e um extenso inquérito policial. Na avaliação dos investigadores da PF que atuam no caso, foi fundamental a reação imediata do ministro.