Grupo suspeito de invadir TSE reivindica outros ataques

Lista inclui investida contra Ministério da Saúde durante pandemia do coronavírus

25 nov 2020 - 02h07
(atualizado às 07h23)

O grupo do hacker português que assumiu publicamente a autoria do vazamento de dados privados e do ataque cibernético ao Tribunal Superior Eleitoral (TSE) durante o primeiro turno das eleições municipais, dia 15, tem um histórico de atuação contra sites brasileiros. Apenas ao longo deste ano, o CyberTeam - liderado pelo hacker conhecido como Zambrius - diz ter atacado ao menos outras 61 páginas com o domínio ".br". De 2017 para cá, foram 140.

A invasão de sites do Ministério da Saúde, que prejudicou a divulgação de dados sobre covid-19, também é reivindicada pelo grupo. Na lista dos alvos estão, ainda, Prefeituras, Câmaras e um departamento de trânsito. Pequenas empresas e escritórios de advocacia figuram entre as vítimas.

Publicidade

O histórico do CyberTeam alimenta a suspeita, não descartada por investigadores, de que a ação contra o TSE pode ter sido realizada não por um hacker ativista, mas por um grupo de cibercriminosos. Como mostrou o Estadão, uma das linhas de investigação indica a possibilidade de envolvimento de radicais ligados a núcleos bolsonaristas. Zambrius está em prisão domiciliar, em Portugal, e diz ter agido sozinho, munido apenas de um celular.

Informações sobre os ataques do grupo hacker ficam em um arquivo na internet, o Zone-H, que diz não ser responsável pelos crimes cibernéticos registrados
Informações sobre os ataques do grupo hacker ficam em um arquivo na internet, o Zone-H, que diz não ser responsável pelos crimes cibernéticos registrados
Foto: Reprodução / Estadão Conteúdo

As apurações estão sendo conduzidas pelo Ministério Público Federal e pelo próprio TSE. Há também um inquérito aberto pela Polícia Federal. Todas as informações sobre os ataques do grupo hacker ficam em um arquivo na internet no qual os invasores anexam, anonimamente, "provas" de seus feitos. Trata-se do Zone-H, que afirma não ser responsável pelos crimes cibernéticos registrados.

A plataforma, porém, só aponta investidas que produziram mudanças no conteúdo dos sites. Dessa forma, não pode ser usada como referencial absoluto para as atividades de grupos hackers. Há modalidades de invasões perigosas, nas quais atacantes permanecem discretamente com acesso a dados sensíveis, sem que sejam notados.

Ao Estadão, Zambrius disse que não contou com a ajuda de ninguém na invasão às páginas do TSE. Em ataques anteriores do CyberTeam, no entanto, há listas com assinaturas de grupos inteiros. Em outubro, por exemplo, o alvo foi o Detran de Tocantins. O grupo acessou subpáginas do departamento de trânsito em uma ação que, segundo especialistas, pode ter dado acesso a dados privados de servidores e cidadãos comuns.

Publicidade

Na mensagem inserida para se sobrepor às informações oficiais aparece o nome de nove invasores e uma referência à atuação de "portuguese and brazilian hackers". Em nota, a Agência de Tecnologia da Informação do Tocantins (ATI-TO) informou que o ataque ao site do Detran alterou momentaneamente o conteúdo da página exibida ao usuário, mas não resultou em perda de dados, acesso a informações ou suborno. "Fizemos os ajustes de segurança necessários e reativamos o serviço", disse a agência.

O CyberTeam afirma que age com um propósito ideológico, faz ativismo contra governos, sem preocupação com ganhos financeiros. Mas entre suas vítimas também estão sites de pequenos comércios e empresas. Especialistas em cibersegurança consultados pelo Estadão disseram que hackers costumam mudar os alvos e praticar extorsão. Pedem dinheiro para não vazar informações sensíveis.

Zambrius negou que seu grupo faça extorsões. "Não, o CyberTeam nunca esteve envolvido em ataque de ransomware (que pede pagamento para devolver dados sequestrados) ou ao Superior Tribunal de Justiça. Mas somos responsáveis pela invasão ao Ministério da Saúde e a alguns tribunais de Justiça", afirmou ele, por e-mail.

Em janeiro, Zambrius e mais 12 hackers "assinaram" o ataque ao site de uma empresa de softwares de Juiz de Fora (MG). Na mensagem deixada ali, incluíram foto aleatória de uma adolescente e escreveram que haviam feito aquilo apenas por diversão.

Publicidade

O dono da empresa contou à reportagem ter recebido um e-mail anônimo em que criminosos ameaçavam vazar informações pessoais, a menos que ele fizesse um pagamento em bitcoins. "Recebi e-mail falando que tinham hackeado minhas contas pessoais. Troquei minhas senhas, não paguei".

Com um site de comércio de produtos importados, outra vítima, de São Paulo, afirmou que também já recebeu e-mail anônimo com pedido de pagamento. "O pessoal manda, mas não temos tempo de ficar dando atenção para certas coisas. É importante, mas temos muitas outras coisas para verificar. Nós nos preocupamos com os clientes. Nosso banco de dados é seguro. Houve acessos no passado, mas nada que fosse devastador. Temos backup de tudo".

Os pequenos empresários pediram para não ter os nomes divulgados para que suas firmas não fossem consideradas vulneráveis. Além disso, temem virar alvo de retaliações. Outras vítimas ouvidas pelo Estadão disseram não ter tomado conhecimento das derrubadas dos sites de seus negócios por integrantes do CyberTeam.

Para o especialista em cibersegurança da Midri, Vinícius Camacho, é comum que desenvolvedores de sites guardem para eles informações sobre esses eventos. "Muitas vezes, o dono da empresa não é quem cuida do site. E o desenvolvedor tende a abafar a invasão. Muitos donos de empresas não sabem que seu site foi invadido, a não ser quando sai na mídia ou quando há essa relação de transparência entre o desenvolvedor e o dono, que nem sempre tem perfil técnico", afirmou Camacho.

Publicidade
Fique por dentro das principais notícias
Ativar notificações