Entrou no sistema que gere as eleições brasileiras e foi condenado a seis anos por hackear o Benfica e a Altice, em 2020. A aguardar em liberdade o resultado do recurso, o hacker voltou em abril ao tornar público vários acessos a algumas das mais importantes estruturas do Estado Português
“Há sempre alguma coisa a acontecer nos subúrbios da internet”, diz o hacker que, aos 19 anos, já tinha hackeado algumas das maiores empresas e infraestruturas públicas de Portugal e do Brasil.
Juntamente com um grupo de hackers que liderou, a Cyberteam, Tomás Pedroso, conhecido no mundo da Internet como Zambrius, acedeu aos sistemas informáticos do Benfica, obteve alguns dos dados mais confidenciais da Altice, bem como a rede que suporta o sistema eleitoral brasileiro e os três ramos do Estado Maior-General das Forças Armadas. Agora, aos 21 anos, enquanto aguarda em liberdade o resultado do recurso que apresentou à sentença de seis anos de prisão a que foi condenado, o pirata informático mostrou ter acedido aos Hospital Garcia de Orta (pelo menos 16 dias antes do ataque ransomware), ao Serviço de Transporte de Doentes da ARS Centro, à plataforma que gere os recursos financeiros do SNS e à aplicação que guarda os exames nacionais.
LEIA TAMBÉM
Serviços sensíveis do Estado estão a ser violados por hackers: Forças Armadas, Saúde e Educação vulneráveis
Porém, o percurso deste jovem nos lugares mais escondidos da internet começou há anos. Com apenas 16 anos, dominava de tal forma o mundo informático que já tinha conseguido aceder a algumas das plataformas das mais altas estruturas do Estado, como a Polícia Judiciária ou a Procuradoria-Geral da República, juntamente com outros membros da CyberTeam. Acabaria por ser apanhado e detido pelas autoridades, sendo internado durante dois anos num centro educativo.
Ataque às eleições brasileiras
Em conjunto com outros piratas informáticos, o jovem que terá dificuldades em socializar e défice de atenção, segundo é relatado na acusação do processo-crime, aproveitou o facto de se encontrar em prisão domiciliária, entre maio e novembro, para aceder à rede Oracle que geria os dados do Tribunal Superior Eleitoral (TSE) brasileiro, durante a primeira volta das eleições autárquicas. À CNN Portugal, o hacker admite ter acedido à rede, mas rejeita a acusação de ter manipulado informações que tivessem causado alterações nas eleições.
“Eu não manipulei nenhuma informação, apesar de ter obtido acesso a computadores e bases de dados da multinacional Oracle, responsável pelo processamento eleitoral”, escreveu à CNN Portugal.
Foi detido pela Polícia Judiciária em novembro de 2020, numa operação conjunta com as autoridades brasileiras, onde foram identificados e detidos três jovens “pela prática continuada de crimes de acesso indevido, dano informático e sabotagem informática”.
O nome de Zambrius ganhou visibilidade desde então, ficando conhecido por centenas de ataques DDOS, que inundam os servidores e os tornam inoperacionais, defacements of websites, que danificam páginas de Internet, e os SQL-Injection, onde explora as vulnerabilidades de sites para lhes dar comandos.
Atualmente, Tomás Pedroso encontra-se em liberdade a aguardar o recurso da sentença de seis anos de prisão, tendo a obrigação de apresentar-se duas vezes por semana e estando proibido de sair do país. Foi acusado de 28 crimes de acesso ilegítimo agravado, desvio de dados e dano informático.
Ataque ao Benfica e à Altice
No acórdão do tribunal que agora o condenou por crimes informáticos, o hacker foi acusado de invadir o site da operadora de telecomunicações MEO, da Altice. O Ministério Público acredita que Tomás conseguiu aceder às bases de dados da empresa e “exfiltrou os dados, incluindo nome e morada, de clientes contidos em tabelas de vendas e de colaboradores das vendas porta-a-port”. Ao todo, Zambrius teve acesso a mais de 123.325 dados da empresa, entre os quais o nome, a morada, contacto de telemóvel e empresas para quem trabalham.
Outro dos acessos indevidos do jovem português aconteceu em março de 2020, quando conseguiu entrar no portal MyBenfica, utilizado como backoffice do site da Fundação Benfica, que era usado pelos administradores do sítio para a gestão e introdução de conteúdos. De seguida, o hacker disponibilizou as credenciais de 114 trabalhadores do clube.
Hacktivismo ou cibercrime
Na ficha de acusação do Ministério Público, as práticas levadas a cabo pelo pirata informático são descritas como “ilícitos de natureza cibernética” a que o jovem denomina de hacktivismo, “como forma de protesto político alcançadas através de invasão cibernética e de incitação à desobediência civil”. Assim, em conjunto com “indivíduos não identificados” o jovem explorou vários sistemas públicos e privados, “escalando privilégios e provocaram alterações de configuração das bases de dados associadas aos respetivos sites ou outras funcionalidades”.
Terá sido esse o caso no ataque ao Jornal da Madeira, em que Zambrius provocou uma alteração na imagem do website do jornal, inserindo a imagem de um indivíduo com a cara coberta, usando capuz e a trabalhar num computador, acompanhado por mensagem contra o político André Ventura, presidente do Chega!: “Hacked by Ciberteam (…) CyberTeam was here!#antiventura O André Ventura que se f…! O sistema que se f…! Ps: tou sem paciência para escrever um texto bonitinho com palavrinhas chiques!”
Também a Associação Portuguesa de Árbitros de Futebol (APAF) não escapou à CyberTeam. O hacker alterou com sucesso a imagem do site, que passou a mostrar uma fotografia de Rui Pinto, com uma mensagem na qual o grupo questionava a investigação feita pelas autoridades portuguesas, que não tinha em conta as informações tornadas públicas no site Football Leaks. “O que é que Portugal está a fazer para combater a corrupção no futebol?”, escreveu o grupo.
O Ministério Público afirma que quando o jovem atacava um alvo com sucesso, procedia à cópia e “exfiltração de informação contida nas bases de dados”, acabando depois por reivindicar a autoria dos ataques nas redes sociais.
Cyberteam
No historial de ataques feitos pela CyberTeam estão centenas de intrusões de larga escala, entre as quais a EDP. No dia 13 de abril de 2020, a empresa elétrica portuguesa foi alvo de um ciberataque que afetou severamente os sistemas de atendimento ao cliente. A reivindicação veio no dia seguinte, através do Twitter, onde os piratas ameaçavam atacar a Altice e levar a cabo um ataque de larga escala no dia 25 de abril desse ano.
Na altura, afirmavam numa publicação no Facebook que cerca de 80% dos websites portugueses poderiam ser alterados pelo grupo. O coletivo de hackers alegava ainda ter “acessos a diversos sistemas importantes do setor privado e do setor público, incluindo alguns tribunais, clubes, empresas privadas” e acrescentava que “se necessário” invadiriam uma rede televisiva.
À CNN Portugal, o jovem garante que o grupo de piratas informáticos que ajudou a fundar encontra-se inativo.
O regresso
Tudo o que precisa é um smartphone e, com tempo e paciência, consegue encontrar vulnerabilidades e explorá-las. Foi isso que aconteceu com as falhas que encontrou em abril deste ano, ao publicar no Twitter uma série de acessos a várias plataformas críticas do Estado português, entre elas uma página do hospital Garcia de Orta, a plataforma de transporte de doentes da ARS Centro e o Júri Nacional de Exames.
Respondendo por escrito à CNN Portugal, que o questionou quanto às motivações para o que a Justiça já considerou serem crimes, o pirata informático afirma que estes ataques servem “apenas para notificar” as autoridades das fragilidades que existem nas redes, alegando estar disponível para partilhar quais as vulnerabilidades desses sistemas com o administrador da rede. O hacker justifica o foco na Saúde, Educação e Defesa com o facto de servirem para demonstrar que estas áreas “que normalmente os hackers procuram para fins lucrativos” não são seguras.
Quando confrontado sobre se estaria disponível para colaborar com as autoridades para encontrar e corrigir falhas dos sistemas críticos do Estado português, Tomás Pedroso responde com uma pergunta: “Porque não?".
Outro dos alvos do hacker foram dezenas de servidores dos três ramos do Estado Maior-General das Forças Armadas (EMGFA). Passados dois anos de ter conseguido entrar nessas plataformas e de ter sido julgado por isso, o hacker alega ter voltado a conseguir aceder aos mesmos servidores, através das mesmas vulnerabilidades encontradas no passado. À CNN Portugal, fonte oficial do EMGFA disse que as vulnerabilidades de 2020 "foram analisadas e tomadas as medidas consideradas adequadas".
“Existe uma infinidade de opções de ataque dentro dos servidores. Uma pessoa mal-intencionada pode roubar informações dos utentes e usá-la para venda ou uso próprio como aceder às caixas electrónicas ou mesmo contas bancárias, pode aplicar golpes phishing, injetar ransomware para pedir resgate, utilizar o servidor da vítima para futuros ataques ou minerar bitcoin, o atacante apodera-se do alvo como se fosse ele o proprietário; resumindo o atacante pode manipular a rede por completo e fazer dela o que quiser”, explica o pirata informático.
