O CyberTeam - liderado
pelo hacker conhecido como Zambrius - disse ter atacado ao menos outras 61
páginas com o domínio ".br"
O grupo do hacker português que assumiu publicamente a autoria do vazamento de dados privados e do ataque cibernético ao Tribunal Superior Eleitoral (TSE) durante o primeiro turno das eleições municipais, no último dia 15, tem um histórico de atuação contra sites brasileiros. Apenas ao longo deste ano, o CyberTeam – liderado pelo hacker conhecido como Zambrius – disse ter atacado ao menos outras 61 páginas com o domínio “.br”. Desde 2017, foram 140.
A invasão de sites do
Ministério da Saúde, que prejudicou a divulgação de dados sobre covid-19,
também é reivindicada pelo grupo. Na lista dos alvos estão, ainda, prefeituras,
Câmaras e um departamento de trânsito. Pequenas empresas e escritórios de
advocacia figuram entre as vítimas.
O histórico do CyberTeam
alimenta a suspeita, não descartada por investigadores, de que a ação contra o
TSE pode ter sido realizada não por um hacker ativista, mas por um grupo de
cibercriminosos. Como mostrou o jornal O Estado de S. Paulo, uma das linhas de
investigação indica a possibilidade de envolvimento de radicais ligados a núcleos
bolsonaristas. Zambrius está em prisão domiciliar, em Portugal, e diz ter agido
sozinho, munido apenas de um celular.
As apurações estão sendo
conduzidas pelo Ministério Público Federal (MPF) e pelo próprio TSE. Há também
um inquérito aberto pela Polícia Federal. Todas as informações sobre os ataques
do grupo hacker ficam em um arquivo na internet no qual os invasores anexam,
anonimamente, “provas” de seus feitos. Trata-se do Zone-H, que afirma não ser
responsável pelos crimes cibernéticos registrados.
A plataforma, porém, só
aponta investidas que produziram mudanças no conteúdo dos sites. Dessa forma,
não pode ser usada como referencial absoluto para as atividades de grupos
hackers. Há modalidades de invasões perigosas, nas quais atacantes permanecem
discretamente com acesso a dados sensíveis, sem que sejam notados.
Ao jornal O Estado de S.
Paulo, Zambrius disse que não contou com a ajuda de ninguém na invasão às
páginas do TSE. Em ataques anteriores do CyberTeam, no entanto, há listas com
assinaturas de grupos inteiros. Em outubro, por exemplo, o alvo foi o Detran de
Tocantins. O grupo acessou páginas do departamento de trânsito em uma ação que,
segundo especialistas, pode ter dado acesso a dados privados de servidores e
cidadãos comuns.
Na mensagem inserida para
se sobrepor às informações oficiais aparece o nome de nove invasores e uma
referência à atuação de “portuguese and brazilian hackers”.
Em nota, a Agência de
Tecnologia da Informação do Tocantins (ATI-TO) informou que o ataque ao site do
Detran alterou momentaneamente o conteúdo da página exibida ao usuário, mas não
resultou em perda de dados, acesso a informações ou suborno. “Fizemos os ajustes
de segurança necessários e reativamos o serviço”, disse a agência.
Ideológico
O CyberTeam afirma que
age com um propósito ideológico, faz ativismo contra governos, sem preocupação
com ganhos financeiros. Mas entre suas vítimas também estão sites de pequenos
comércios e empresas. Especialistas em cibersegurança consultados pelo jornal O
Estado de S. Paulo disseram que hackers costumam mudar os alvos e praticar
extorsão. Pedem dinheiro para não vazar informações sensíveis.
Zambrius negou que seu
grupo faça extorsões. “Não, o CyberTeam nunca esteve envolvido em ataque de
ransomware (que pede pagamento para devolver dados sequestrados) ou ao Superior
Tribunal de Justiça. Mas somos responsáveis pela invasão ao Ministério da Saúde
e a alguns tribunais de Justiça”, afirmou ele, por e-mail.
Em janeiro, Zambrius e
mais 12 hackers “assinaram” o ataque ao site de uma empresa de softwares de
Juiz de Fora (MG). Na mensagem deixada ali, incluíram foto aleatória de uma
adolescente e escreveram que haviam feito aquilo apenas por diversão.
O dono da empresa contou
à reportagem ter recebido um e-mail anônimo em que criminosos ameaçavam vazar
informações pessoais, a menos que ele fizesse um pagamento em bitcoins. “Recebi
e-mail falando que tinham hackeado minhas contas pessoais. Troquei minhas
senhas, não paguei”.
Com um site de comércio
de produtos importados, outra vítima, de São Paulo, afirmou que também já
recebeu e-mail anônimo com pedido de pagamento. “O pessoal manda, mas não temos
tempo de ficar dando atenção para certas coisas. É importante, mas temos muitas
outras coisas para verificar. Nós nos preocupamos com os clientes. Nosso banco
de dados é seguro. Houve acessos no passado, mas nada que fosse devastador.
Temos backup de tudo.”
Os pequenos empresários
pediram para não ter os nomes divulgados para que suas firmas não fossem
consideradas vulneráveis. Além disso, temem virar alvo de retaliações.
Outras vítimas ouvidas
pelo jornal O Estado de S. Paulo disseram não ter tomado conhecimento das
derrubadas dos sites de seus negócios por integrantes do CyberTeam.
Para o especialista em
cibersegurança da Midri, Vinícius Camacho, é comum que desenvolvedores de sites
guardem para eles informações sobre esses eventos. “Muitas vezes, o dono da
empresa não é quem cuida do site. E o desenvolvedor tende a abafar a invasão.
Muitos donos de empresas não sabem que seu site foi invadido”, afirmou Camacho.
Agora Noticias Brasil