Reprodução
Informações sobre os ataques do grupo hacker ficam em um arquivo na internet, o Zone-H, que diz não ser responsável pelos crimes cibernéticos registrados Reprodução

Grupo hacker suspeito de invadir TSE reivindica ataque a 61 sites no País em 2020

Lista inclui investida contra Ministério da Saúde durante pandemia do coronavírus

Vinícius Valfré, O Estado de S.Paulo

24 de novembro de 2020 | 17h53

BRASÍLIA – O grupo do hacker português que assumiu publicamente a autoria do vazamento de dados privados e do ataque cibernético ao Tribunal Superior Eleitoral (TSE) durante o primeiro turno das eleições municipais, dia 15, tem um histórico de atuação contra sites brasileiros. Apenas ao longo deste ano, o CyberTeam – liderado pelo hacker conhecido como Zambrius – diz ter atacado ao menos outras 61 páginas com o domínio “.br”. De 2017 para cá, foram 140. 

A invasão de sites do Ministério da Saúde, que prejudicou a divulgação de dados sobre covid-19, também é reivindicada pelo grupo. Na lista dos alvos estão, ainda, Prefeituras, Câmaras e um departamento de trânsito. Pequenas empresas e escritórios de advocacia figuram entre as vítimas.

O histórico do CyberTeam alimenta a suspeita, não descartada por investigadores, de que a ação contra o TSE pode ter sido realizada não por um hacker ativista, mas por um grupo de cibercriminosos. Como mostrou o Estadão, uma das linhas de investigação indica a possibilidade de envolvimento de radicais ligados a núcleos bolsonaristas. Zambrius está em prisão domiciliar, em Portugal, e diz ter agido sozinho, munido apenas de um celular.

As apurações estão sendo conduzidas pelo Ministério Público Federal e pelo próprio TSE. Há também um inquérito aberto pela Polícia Federal. Todas as informações sobre os ataques do grupo hacker ficam em um arquivo na internet no qual os invasores anexam, anonimamente, “provas” de seus feitos. Trata-se do Zone-H, que afirma não ser responsável pelos crimes cibernéticos registrados.

A plataforma, porém, só aponta investidas que produziram mudanças no conteúdo dos sites. Dessa forma, não pode ser usada como referencial absoluto para as atividades de grupos hackers. Há modalidades de invasões perigosas, nas quais atacantes permanecem discretamente com acesso a dados sensíveis, sem que sejam notados.

Ao Estadão, Zambrius disse que não contou com a ajuda de ninguém na invasão às páginas do TSE. Em ataques anteriores do CyberTeam, no entanto, há listas com assinaturas de grupos inteiros. Em outubro, por exemplo, o alvo foi o Detran de Tocantins. O grupo acessou subpáginas do departamento de trânsito em uma ação que, segundo especialistas, pode ter dado acesso a dados privados de servidores e cidadãos comuns.

Na mensagem inserida para se sobrepor às informações oficiais aparece o nome de nove invasores e uma referência à atuação de “portuguese and brazilian hackers”. Em nota, a Agência de Tecnologia da Informação do Tocantins (ATI-TO) informou que o ataque ao site do Detran alterou momentaneamente o conteúdo da página exibida ao usuário, mas não resultou em perda de dados, acesso a informações ou suborno. “Fizemos os ajustes de segurança necessários e reativamos o serviço”, disse a agência.

O CyberTeam afirma que age com um propósito ideológico, faz ativismo contra governos, sem preocupação com ganhos financeiros. Mas entre suas vítimas também estão sites de pequenos comércios e empresas. Especialistas em cibersegurança consultados pelo Estadão disseram que hackers costumam mudar os alvos e praticar extorsão. Pedem dinheiro para não vazar informações sensíveis.

Zambrius negou que seu grupo faça extorsões. “Não, o CyberTeam nunca esteve envolvido em ataque de ransomware (que pede pagamento para devolver dados sequestrados) ou ao Superior Tribunal de Justiça. Mas somos responsáveis pela invasão ao Ministério da Saúde e a alguns tribunais de Justiça”, afirmou ele, por e-mail.

Em janeiro, Zambrius e mais 12 hackers “assinaram” o ataque ao site de uma empresa de softwares de Juiz de Fora (MG). Na mensagem deixada ali, incluíram foto aleatória de uma adolescente e escreveram que haviam feito aquilo apenas por diversão. 

O dono da empresa contou à reportagem ter recebido um e-mail anônimo em que criminosos ameaçavam vazar informações pessoais, a menos que ele fizesse um pagamento em bitcoins. “Recebi e-mail falando que tinham hackeado minhas contas pessoais. Troquei minhas senhas, não paguei”.

Com um site de comércio de produtos importados, outra vítima, de São Paulo, afirmou que também já recebeu e-mail anônimo com pedido de pagamento. “O pessoal manda, mas não temos tempo de ficar dando atenção para certas coisas. É importante, mas temos muitas outras coisas para verificar. Nós nos preocupamos com os clientes. Nosso banco de dados é seguro. Houve acessos no passado, mas nada que fosse devastador. Temos backup de tudo”.

Os pequenos empresários pediram para não ter os nomes divulgados para que suas firmas não fossem consideradas vulneráveis. Além disso, temem virar alvo de retaliações. Outras vítimas ouvidas pelo Estadão disseram não ter tomado conhecimento das derrubadas dos sites de seus negócios por integrantes do CyberTeam.

Para o especialista em cibersegurança da Midri, Vinícius Camacho, é comum que desenvolvedores de sites guardem para eles informações sobre esses eventos. “Muitas vezes, o dono da empresa não é quem cuida do site. E o desenvolvedor tende a abafar a invasão. Muitos donos de empresas não sabem que seu site foi invadido, a não ser quando sai na mídia ou quando há essa relação de transparência entre o desenvolvedor e o dono, que nem sempre tem perfil técnico”, afirmou Camacho. 

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

Quem é o hacker português suspeito de atacar o TSE?

Conhecido como Zambrius tem 19 anos e foi preso na manhã deste sábado, 28, pela Polícia Federal; hacker já invadiu sistemas de universidades e ministérios e se define como um explorador de vulnerabilidades

Redação, O Estado de S.Paulo

24 de novembro de 2020 | 17h53
Atualizado 28 de novembro de 2020 | 19h20

Na manhã deste sábado, 28, a Polícia Federal prendeu um hacker português acusado de realizar ataques cibernéticos ao Tribunal Superior Eleitoral (TSE). Segundo fontes informaram ao Estadão, o cidadão preso é o hacker como Zambrius, que ganhou notoriedade no Brasil nas últimas semanas pelo ataque, realizado no primeiro turno das eleições 2020. A prisão foi realizada em cooperação com a Unidade Nacional de Combate ao Cibercrime e Criminalidade Tecnológica da Polícia Judiciária Portuguesa.

Zambrius é o líder do CyberTeam, grupo hacker que reinvindicou a autoria de ataques ao TSE, ao Ministério da Saúde e ao Tribunal Regional da 1ª Região (TRF1) – este último realizado nesta semana. Em e-mail enviado à reportagem na sexta-feira, 27, disse ter agido por diversão contra o TRF1. “O ataque efetuado no TRF1 foi por diversão e para demonstrar as vulnerabilidades, e sim, o grupo em causa está ligado ao CyberTeam”, escreveu.

A fama internacional do invasor, porém, é anterior aos episódios aqui no Brasil. Aos 19 anos e anteriormente cativo em prisão domiciliar, Zambrius coleciona uma lista de iniciativas semelhantes, com alvos que vão de museus e universidades a empresas e ministérios. 

Em entrevista por e-mail ao Estadão, Zambrius se definiu como um viciado em explorar vulnerabilidades. Ele assumiu a autoria pelo vazamento de dados do site do TSE em uma conta no Twitter, que foi suspensa, e diz ter atuado para sobrecarregar o site do tribunal, tornando as consultas a páginas de serviços mais lentas.

Zambrius afirmou que realizou os ataques sozinho, munido apenas de um celular. “Estou sem computador. Se o tivesse, acredite que o ataque teria um impacto muito maior”, escreveu. As ações do hacker – que diz ter feito tudo de Portugal – não provocaram impacto no processo de votação.

Segundo a imprensa portuguesa, Zambrius é monitorado pelas autoridades locais há anos, e foi detido pela primeira vez em 2017, ainda aos 16 anos, no âmbito de uma operação que desmantelou um grupo de hackers que tinha atacado várias estruturas do Estado português – entre elas a Procuradoria-Geral da República.

Na época, ele liderava o grupo LulzSec Portugal, que já teve elos com hackers brasileiros. Anteriormente, em 2012, uma parceria da LulzSec Portugal com criminosos do País tirou do ar o site do Tribunal de Justiça do Rio.

Ataques a empresas como a Altice, do ramo das telecomunicações, também já foram colocados na conta do jovem, segundo a imprensa local. A empresa, porém, minimiza o ocorrido. Ao jornal português Diário de Notícias, uma fonte oficial da organização informou que suas consequências foram “praticamente nulas”. 

Zambrius é ainda suspeito de piratear o site do Benfica, um dos maiores clubes de futebol do país, assim como o da Associação Portuguesa de Árbitros de Futebol (APAF). Entre os alvos do hacker figuram ainda estruturas ministeriais. 

Segundo o jornal Público, o grupo de hacker CyberTeam – liderado pelo jovem – publicou, no dia 20 de julho, uma foto nas redes sociais com nomes de usuário, códigos de especialidades médicas e senhas encriptadas de médicos e enfermeiros do Sistema Nacional de Saúde (SNS) de Portugal. O impacto foi diminuto, uma vez que as senhas estavam cifradas. No dia anterior, o mesmo havia ocorrido com trabalhadores da Câmara de Lisboa, segundo o veículo. 

O Jornal de Notícias, por sua vez, noticiou que, além do ministério da Saúde e dos ataques já citados, também estão entre os alvos do CyberTeam o ministério da Cultura – com ataques a diversos sites de museus –, a Universidade Nova, os serviços sociais da GNR (Guarda Nacional Republicana) e a Federação Portuguesa de Natação.

Boa parte dos ataques é reivindicado pelo grupo pelas redes sociais. Caso, por exemplo, de uma iniciativa que teve como alvo o Banco de Portugal, segundo o Diário de Notícias. As investigações de autoridades, porém, ainda não confirmaram o fato.

Ataques em datas e eventos simbólicos

Uma das marcas carimbadas do grupo, de acordo com a publicação, é a de atacar em datas ou eventos nacionais simbólicos, em forma de protesto. No caso brasileiro, o ataque foi feito no dia do primeiro turno das eleições municipais, em 15 de novembro. Zambrius afirmou ao Estadão que só tomou a iniciativa porque o TSE declarou ter reforçado a segurança após a invasão a domínios do Superior Tribunal de Justiça.

Questionado sobre se tem ciência de que ajudou a criar a falsa narrativa bolsonarista de fraude, ele disse ter escolhido a data por “diversão”. Se fizesse antes, não haveria a “piada”.

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.