O que já se sabe e o que ainda é dúvida no caso dos hackers de Moro

A Polícia Federal (PF) prendeu quatro suspeitos de invadir os celulares do ministro da Justiça, Sergio Moro, e de outras autoridades, na terça-feira (23). Eles foram transferidos para a Brasília e prestaram depoimentos à Justiça Federal do Distrito Federal e Territórios (JFDF). Na manhã de hoje, o Ministério da Justiça afirmou que o presidente Jair Bolsonaro também teve o celular invadido.

Expedida pela 10ª Vara Federal Criminal, a chamada Operação Spoofing não vincula oficialmente os presos aos diálogos vazados entre Moro e o procurador Deltan Dallagnol, chefe da operação Lava Jato, pelo site The Intercept Brasil. Segundo fontes da PF, um dos presos afirmou ter repassado as mensagens ao jornalista Glenn Greenwald, cofundador do site, mas oficialmente, a informação não é afirmada, nem negada.

O Intercept afirma que a fonte que repassou o pacote de conversas é anônima.

Veja a seguir o que se sabe e o que ainda precisa ser respondido sobre os supostos hackers.

Quem são os presos

• Gustavo Henrique Elias Santos, 28, trabalha como DJ e organizador de festas em Araraquara (SP). De acordo com a Folha de S. Paulo, ele já foi preso por receptar uma caminhonete Hilux em 2013. Foi condenado a seis anos e seis meses, mas passou em regime aberto.
• Suelen Priscila de Oliveira, 25, é companheira de Gustavo. Segundo despacho, ela movimentou R$ 203 mil de 7 de março a 29 de maio deste ano, enquanto sua renda mensal era de pouco mais de R$ 2.000. A origem do dinheiro encontrado, no entanto, não foi explicada.
• Walter Delgatti Neto, 30, conhecido como "Vermelho", foi preso em Ribeirão Preto (SP). Ele já havia sofrido um mandado de busca e apreensão em sua casa após uma acusação de estupro. Ele dizia ser uma "pessoa influente" que tinha "conta na Suíça" em Araraquara. Delgatti é filiado ao DEM, mas hoje, o presidente do partido, ACM Neto, determinou sua expulsão.
• Danilo Cristiano Marques, 33, era um microempresário, especializado em equipamentos de telefonia e comunicação, em Araraquara.

Segundo as investigações, eles operavam em uma casa de pouco movimento na periferia de Araraquara.

Supostos hackers simularam os números sem invadir os celulares

O nome da operação entrega como a PF acredita como o ataque aconteceu: Spoofing. O termo em inglês se refere à técnica pela qual hackers têm acesso a mensagens sem ter de invadir o celular da vítima.

Funciona assim: quando você liga para o seu próprio número, a operadora direciona a chamada à caixa postal. De acordo com o despacho, os supostos hackers conseguiram o acesso ao Telegram de Moro desta forma. Eles teriam usado um serviço que altera o número do chamador e ligado para o celular do ministro.

"O invasor então realiza diversas ligações para o número alvo, a fim de que a linha fique ocupada, e a ligação contendo o código de ativação do serviço Telegram Web é direcionada para a caixa postal da vítima", continua o documento. Desta forma, teria recorrido ao processo de identificação de senha para o aplicativo de mensagens.

Se a investigação se confirmar, significa que eles não precisaram "invadir" o celular do ministro ou de qualquer um dos envolvidos --só conseguiram acesso ao aplicativo com o número "clonado".

Suspeitos tiveram "movimentação acima do normal"

De acordo com o despacho, Gustavo movimentou, entre os dias 18 de abril e 29 de junho de 2018, R$ 424 mil numa conta sendo que em seu cadastro bancário consta a renda mensal de R$ 2.866.

O mesmo aconteceu com a sua companheira. Segundo as autoridades, Suelen movimentou R$ 203 mil de 7 de março a 29 de maio deste ano, enquanto sua renda mensal era de pouco mais de R$ 2.000.

Questionados pelo UOL, nem a Justiça Federal e nem o ministério da Economia confirmaram se as informações financeiras foram obtidas por meio de relatórios do Conselho de Controle de Atividades Financeiras (Coaf). A defesa do casal afirmou que a movimentação financeira é "natural". Outras pessoas foram atingidas

De acordo com a PF, centenas de pessoas, entre autoridades dos Três Poderes e jornalistas, foram hackeadas pelo grupo. Sem revelar os nomes, já se sabe que o ministro da Economia, Paulo Guedes, foi um dos atingidos.

Guedes comunicou publicamente a suspeita de que teve seu celular invadido na última segunda-feira (22).

O que falta responder

Como os suspeitos tiveram acesso às mensagens em junho se Moro deletou o Telegram em 2017?

Caso a maneira de obtenção das mensagens apontada pelo Ministério Público Federal (MPF) seja correta, elas não batem com as declarações dadas por Moro ou com a política de segurança relatada pelo aplicativo Telegram.

Desde que o caso veio à tona, Moro não nega ou confirma a autenticidade das mensagens, pois argumenta que apagou o aplicativo em 2017 e, desde então, não teve acesso. Agora, as mensagens sumiram.

O Telegram corrobora a informação. Segundo o aplicativo, o padrão é que, se o usuário não ficar online, todo o conteúdo é apagado em definitivo após seis meses. Há ainda a opção de diminuir este prazo para um mês ou estender para, no máximo, um ano.

Moro afirmou que recebeu ligações do próprio número (tese corroborada pela investigação) no dia 4 de junho deste ano. Se o aplicativo estivesse inativo desde 2017, os supostos hackers, segundo o Telegram, não conseguiriam as mensagens antigas.

Segundo a política do Telegram, como estava sem acesso há mais de um ano, estas mensagens foram definitivamente apagadas do histórico do ministro no máximo em 2018 (considerando que ele tenha feito a expansão do prazo). Em junho de 2019, elas já deveriam ter sumido. A PF não respondeu ao questionamento.

Há comprovação de conexão entre as mensagens publicadas e os hackers?

A Polícia Federal não respondeu ao UOL sobre o conteúdo da operação. Mas à Folha, fonte afirmaram que um dos presos afirmou ter repassado as mensagens que obteve ao Intercept.

Ontem, pelo Twitter, Moro afirmou que os presos, "pessoas com antecedentes criminais, envolvidas em várias espécies de crimes", foram "a fonte de confiança daqueles que divulgaram as supostas mensagens obtidas por crime".

Leandro Demori, editor do portal, respondeu ao ministro também pela rede social, sem negar ou confirmar a ligação.

"Nunca falamos sobre a fonte. Essa acusação de que esses supostos criminosos presos agora são nossa fonte fica por sua conta. Não surpreende vindo de quem não respeita o sistema acusatório e se acha acima do bem e do mal. Em um país sério, o investigado seria você", declarou o jornalista.

O sigilo de fonte é um direito garantido pelo Artigo 5º da Constituição Federal. A PF também não comentou se sabe ou não de uma possível ligação.

Alguém confessou?

Uma fonte ligada ao caso afirmou ao UOL que Walter Delgatti confessou ter participado do crime. A PF não confirmou a informação. Já Gustavo declarou à polícia que viu as mensagens de Moro no celular de um amigo.

A ação foi encomendada por alguém?

Há muita especulação na internet sobre a motivação dos supostos hackers em terem rastreado as mensagens do ministro e, caso comprovado o pagamento, de quem seria este dinheiro. A PF não comentou o caso.

Há mais pessoas envolvidas?

A PF também não comentou. No entanto, o juiz Vallisney de Souza Oliveira autorizou as quebras de sigilo bancário dos quatro suspeitos porque foram verificadas incompatibilidades nas finanças de Gustavo e Suelen.

No despacho, o juiz destacou que diante da incompatibilidade das movimentações financeiras do casal, fazia-se necessário realizar o rastreamento do dinheiro "e averiguar eventuais patrocinadores das invasões ilegais". Além disso, a PF apreendeu R$ 100 mil na casa de Gustavo. O dinheiro, segundo a defesa dele, tem origem lícita.

Qual foi a participação de Danilo Marques na ação?

Enquanto Walter, que supostamente assumiu o crime, é tido pela investigação como quem operou o hackeamento e Gustavo e Suelen tiveram movimentações financeiras anormais rastreadas, ainda não está claro o papel de Danilo na ação e por que ele foi preso.

Até então, só se sabe que ele é um microempresário da área de "equipamentos de telefonia e comunicação" em Araraquara, cidade dos outros três suspeitos.

As mensagens foram adulteradas?

A PF não comentou o conteúdo das mensagens.