[Segurança] Os hackers russos do Moro (com memes)

Nesta semana fomos surpreendidos pelo anúncio da Operação Spoofing da Polícia Federal (PF), que prendeu quatro pessoas suspeitas de terem invadido o celular do ministro Sérgio Moro e de outras autoridades do Governo, supostamente associado ao vazamento para o site The Intercept das conversas do ministro no Telegram durante a Operação Lava Jato.

Um artigo do Altieres Rohr e do Thiago Lavado no G1 detalha o resultado da investigação da PF sobre que técnicas foram usadas para invadir as contas do Telegram.

O texto da decisão do juiz que autorizou a prisão temporária dos suspeitos descreve como foram as investigações que apontaram como eles acessaram o Telegram do Moro e outras vítimas através da interface Web do Telegram. Embora o acesso web ao Telegram exija uma autorização do usuário original, os suspeitos conseguiram obter o código de autenticação enviado pelo Telegram para o celular das vítimas de uma maneira bem simples: eles solicitaram a senha via chamada telefônica ao mesmo tempo em que fizeram diversas ligações para o telefone das vítimas para que a linha ficasse ocupada. Assim, a ligação automática do Telegram foi direcionada para a caixa postal do celular, e fazendo spoofing do número telefônico via um provedor de Voz sobre IP (VoIP) eles acessaram a caixa postal para recuperar o código.

Veja uma transcrição da decisão judicial, com um ótimo resumo do que a PF apurou:

De acordo com as investigações, os criminosos usaram o serviço de VoIP da empresa BRVoz para ligar para os celulares das vítimas utilizando o número telefônico da própria vítima. Assim conseguiram cair na caixa postal e escutar o código de acesso ao Telegram. O criminoso, então, ouviu a mensagem gravada com o código de acesso e conseguiu ativar o Telegram via Web.

Antes do anúncio da Operação Spoofing, muito se especulou sobre como foi feita a invasão na conta do Sérgio Moro e demais autoridades. Foi especulado que o ataque tinha sido realizado por hackers no Brasil, em especial em Santa Catarina, e no exterior, com o suposto envolvimento de agentes na Rússia e até em Dubai, nos Emirados Árabes.

Mas, segundo as notícias recentes, os supostos hackers russos calharam de ser, na realidade, quatro estelionatários (três homens e uma mulher) que vivem no interior de São Paulo, nas cidades de Araraquara e Ribeirão Preto. Foram cumpridas 11 ordens judiciais, das quais 7 de busca e apreensão e 4 de prisão temporária. Desnecessário dizer que isso virou piada, né?

Rapidamente alguns deles assumiram a autoria dos crimes.

Moral da história: nada de ciber ataques sofisticados de hackers russos! Os criminosos utilizaram um método incrivelmente simples para acessar o Telegram.

E a pior parte dessa história é que qualquer pessoa pode ser vítima desse método de ataque descrito pela PF.

Resumindo: desabilite a caixa postal do seu celular ou configure uma senha nela!

As caixas postais das linhas de celulares vem com uma senha padrão para cada empresa de telefonia, que é de conhecimento público. Além disso, ao ligar para a caixa postal do próprio número telefônico, ela não pede senha. Todas as operadoras brasileiras (Vivo, Claro, TIM, Oi e Nextel) permitem, por padrão, que você acesse sua caixa postal ao ligar para o seu próprio número, sem precisar informar a senha. Assim, fica fácil para um criminoso acessar a caixa postal de uma vítima!

Recentemente especialistas de segurança demonstraram na CCC e na Defcon que é possível realizar um ataque para adivinhar essas senhas das caixas postais de telefonia. É possível ver, no Youtube, a versão resumida e a versão completa da palestra "Compromising Online Accounts by Cracking Voicemail Systems", que o pesquisador espanhol Martin Vigo apresentou na Defcon 26.

Veja também um vídeo curtinho que ilustra esse ataque:

Adicionado em 29/07: A polícia rastreou como os criminosos tiveram acesso aos dados das autoridades. Segundo depoimento do Walter Delgatti Neto, atualmente sob custódia da Polícia Federal, começou invadindo o celular de um promotor local, que tinha acusado ele de tráfico de drogas. Assim, a partir da agenda dele no Telegram, o Walter Delgatti foi indo de autoridade em autoridade, até chegar no ministro Sérgio Moro.

Para saber mais:

• PF prende quatro suspeitos de hackear celulares de Moro e Deltan
• G1: "'Spoofing': como foi a invasão do celular de Sérgio Moro, segundo a decisão judicial que mandou prender 4 suspeitos"
• "Vermelho" confessa ter hackeado Moro, Deltan, delegados da PF e juízes
• Artigo curto e objetivo da The Hack: "Invasão ao Telegram de Moro pode ter sido bem mais simples do que imaginávamos"
• Uma análise crítica do Boot Santos sobre a possibilidade de ataque de spoofing para acessar a caixa postal e pegar o código do Telegram: "Hacker Russo de Araraquara?"
• Uma análise interessante: "Linha do tempo revela falhas na narrativa que atribui vazamentos da Lava Jato a hackers paulistas"
• Como mudar a senha da caixa postal [Vivo, TIM, Claro, Oi e Nextel]
• Hacker conta em depoimento como chegou a arquivos de Deltan Dallagnol e os repassou a Glenn Greenwald e diz que não recebeu dinheiro pelo material

OBS: Post atualizado em 29/07 para incluir mais alguns memes e o infográfico mostrando como foi a sequencia de invasões.