Na última semana, o caso de invasão de celulares de pessoas públicas da política nacional ganhou novas perspectivas e personagens. Segundo a Polícia Federal, foram presos quatro suspeitos de estarem envolvidos no vazamento das mensagens do atual ministro da Justiça e Segurança Pública, Sérgio Moro, de outros ministros, de procuradores da República e de diversos personagens de notoriedade nacional, inclusive o Presidente Jair Bolsonaro. Entre esses presos está Walter Delgatti Neto, que em depoimento assumiu ser o responsável por invadir a conta do Telegram do ministro Moro. 

O caso ganhou conhecimento do público no início do mês de Julho, quando o site Intercept Brasil divulgou supostas mensagens trocadas entre o atual ministro da Justiça e Segurança Pública, Sérgio Moro, e os procuradores membros da força-tarefa da Operação Lava Jato, obtidas através de uma fonte anônima. 

Mesmo após um mês das mensagens terem sido divulgadas, e o ministro da justiça ter denunciado um ataque hacker ao seu telefone, as investigações da Polícia Federal ainda não tinham respostas para perguntas como: “quem é o responsável pela invasão?”, “quais técnicas foram utilizadas para obter acesso às mensagens?”. Entretanto, no último dia 23 a Operação Spoofing, deflagrada pela Polícia Federal em São Paulo, parece ter encontrado as possíveis respostas das questões levantadas no último mês.

Segundo a investigação da Polícia Federal, os presos realizaram os ataques através da interceptação do código de autenticação do Telegram, enviada através de ligação telefônica e que permite a sincronização da conta com a versão web do aplicativo. As investigações continuam e a Polícia evitou entregar muitos detalhes, porém as informações divulgadas pelos investigadores até o momento ajudam a esclarecer as dúvidas de segurança e privacidade que ainda não haviam sido respondidas. 

Como o ataque foi executado?

A operação que levou a Polícia Federal até os suspeitos foi nomeada de Operação Spoofing, e teve como objetivo desarticular uma organização criminosa que praticava crimes cibernéticos. Spoofing é uma técnica de ataque cibernético que tem o objetivo de se passar por uma fonte conhecida e confiável para fazer uma vítima acreditar que as fontes da requisição são autenticas. 

Segundo informações da Polícia, os suspeitos utilizaram um serviço VoIP – voz sobre IP, chamadas telefônicas realizadas através do serviço de Internet – para obter o código de acesso do aplicativo Telegram.

Para fazer a sincronização da conta do aplicativo Telegram com sua versão Web, é necessária a inserção de um código de verificação, que pode ser repassado através de uma ligação de voz. Ou seja, o número vinculado à conta do aplicativo recebe uma ligação com código que deve ser inserido para a sincronização e, caso a ligação não seja atendida, a mensagem contendo o código é direcionada e fica armazenada na caixa postal. Foi exatamente assim que os ataques acontecerem.   

O serviço da empresa contratada pelos hackers possui uma funcionalidade chamada identificador de chamadas: esta função permite uso de qualquer número de telefone para realizar chamadas, o que foi o ponto principal para o sucesso do ataque.

O ministro e outras vítimas informaram que receberam ligações do seu próprio número de telefone, o que pode indicar que os atacantes utilizaram o serviço de VoIP para simular o número de celular das próprias vítimas como origem, realizando várias ligações para os seus aparelhos. Com a linha ocupada, eles solicitaram o envio do código de verificação do Telegram Web e, consequentemente, o código foi gravado na caixa postal.  

Um outro detalhe possibilitou que os hackers concluíssem o ataque sem muita dificuldade: operadoras de telefonia disponibilizam para os seus clientes uma forma rápida e fácil de acessar sua caixa postal. Assim, basta ligar para o seu próprio número para obter acesso direto, sem nenhum mecanismo de autenticação. Ainda utilizando o serviço de VoIP, os atacantes conseguiram utilizar a técnica de Caller ID spoofing, simulando a linha telefônica da vítima e assim obtendo acesso a chamada de voz do Telegram gravada na caixa postal. Assim capturaram a o código e finalmente acessaram a conta das vítimas.  

Caller ID, também chamado de Calling Line Identification – Identificação de linha de chamada ou Identificação de chamador – é a identificação numérica de uma linha associada ao número telefônico. Esse identificador de chamadas é enviado no início da chamada telefônica e identifica quem está ligando antes da ligação ser atendida. Porém, o Caller ID só faz parte da configuração inicial da chamada, o que permite manipular a identificação de chamada para exibir um número diferente do número que está ligando de fato.

O Caller ID spoofing acontece quando quem está ligando falsifica a informação transmitida para a identificação de chamada da linha da vítima, escondendo a sua real identidade. Neste caso, os atacantes assumiram a identidade de chamadas das suas vítimas alterando o Caller ID para a mesma identificação. 

Quem realizou os ataques?

A Polícia Federal conseguiu chegar até os suspeitos por meio dos IPs (protocolos de Internet) dos dispositivos que se conectaram à fornecedora de serviços VoIP. Através da investigação foi possível encontrar nos arquivos investigados o registro de 5.616 ligações nas quais o número de origem era igual do número de destino.

João Vianey Xavier Filho, Coordenador Geral de Inteligência da Policia Federal, declarou à imprensa que a investigação partiu das ligações realizadas para ministro Sérgio Moro: “A autoridade policial então adotou a linha investigada de verificar as rotas e interconexões das ligações efetuadas para o telefone que era utilizado pelo senhor Ministro da Justiça e Segurança Pública, notadamente das ligações que foram originadas do próprio número telefônico da vítima”, disse ele.

Delgatti Neto confessou que foi responsável por invadir os celulares de várias autoridades, incluindo o ministro Sérgio Moro. A investigação segue agora com a identificação de todos os números que foram invadidos, com o objetivo de verificar a exata extensão do ataque.

Calcula-se que os atacantes realizaram as investidas em mais de 1.000 vítimas, entre elas o presidente da República Jair Bolsonaro, o presidente do senado Davi Alcolumbre, o presidente do Superior Tribunal de Justiça João Otávio de Noronha, além de outras figuras políticas e públicas. 

Segundo a Polícia Federal, a habilidade técnica dos hackers era baixa, já que os atacantes não executaram ações consideradas comuns por hackers com maiores conhecimentos, como por exemplo mascarar seus IPs, tornando o rastreio de suas atividades mais difícil, além de bloquear o acesso da vítima aos recursos que estão sendo explorados. 

Qual a vulnerabilidade explorada?

Muito se comentou sobre a ausência de um duplo fator de autenticação por parte do atual Ministro da Justiça e Segurança Pública. No entanto, a investigação da Polícia Federal leva a entender que a vulnerabilidade que permitiu o ataque fosse perpetrado se estende além de configurações de segurança local. 

Há tempos se discute a fragilidade do protocolo SS7, que foi criado para conectar diferentes operadoras e ser o canal por onde chamadas e mensagens de texto trafegam. Entretanto, o protocolo possui uma falha que permite ocorrer o ataque de Caller ID spoofing, não verificando quem mandou a requisição. Desta maneira, seja o verdadeiro proprietário do número ou um criminoso se passando passar pelo usuário, o SS7 irá tratar a requisição como legítima. 

Neste caso, ainda se o múltiplo fator de autenticação estivesse habilitado no modelo de token via texto SMS, a conta ainda não estaria segura. Da mesma forma como o ataque se utilizou de uma vulnerabilidade do SS7 para obter o código de verificação do aplicativo Telegram, este protocolo permite a manipulação da rota de mensagens, direcionando o tráfego para a linha desejada e permitindo ao atacante acessar a conta com o token interceptado. 

E como se proteger?

A Agência Brasileira de Inteligência (ABIN), desde as primeiras notícias sobre o vazamento das mensagens, disponibilizou ao presidente Jair Bolsonaro e ao vice presidente Hamilton Mourão celulares criptografados, para que mensagens contendo assuntos confidenciais e estratégicos do governo possam transitar por meios mais seguros. Estes aparelhos disponibilizam de aplicativos próprios para a comunicação, semelhante ao Telegram, porém de uso exclusivo das autoridades brasileiras. 

As vulnerabilidades do protocolo SS7 ainda estão longe de serem corrigidas, no entanto, existem alguns meios para se prevenir deste tipo de ataque. Alguns desses meios são:

  • Desabilitar a caixa postal
  • Uso de outros fatores de autenticação além do token via textos SMS
  • Não se apoiar somente no segundo fator de autenticação, e possuir senhas de primeiro acesso complexas. 
  • Evitar associar contas importantes com linhas telefônicas. 

A técnica utilizada pelos hackers pode ser considerada simples, no entanto expõe falhas em nossos meios de comunicação, permitindo a qualquer pessoa ser vítima de um ataque cibernético, e ter sua privacidade violada. Independentemente do tipo de aplicação utilizada para comunicação, a forma como é utilizada deve ser sempre configurada pensando em privacidade e segurança.