A colaboração entre a Polícia Judiciária, o FBI e a Europol, tem-se revelado essencial no desmantelamento de grupos criminosos que se dedicam ao cibercrime. Um dos melhores exemplos foi o recente desmantelamento do grupo HIVE que, em Portugal, atacou hospitais, empresas de análise laboratorial, municípios, companhias de transportes de aviação, entre outras entidades
No mundo digital não há fronteiras, não há rostos, não há nacionalidades. É por isso que cada vez mais a cooperação entre as polícias do mundo é “essencial”. Carlos Cabreiro, Diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária (UNC3T) explicou, em entrevista exclusiva à CNN Portugal, como se processa esta colaboração. Um dos melhores exemplos destas ações foi o desmantelamento do grupo HIVE.
Em 2022, à semelhança do que se passou um pouco por todo o mundo, vários ciberataques, com origem em grupos criminosos estrangeiros, atingiram entidades portugueses. A TAP, a Vodafone ou os laboratórios Germano Sousa, são alguns exemplos. A Polícia Judiciária foi determinante para que estes atos criminosos tivessem um fim.
Desafiado pela CNN Portugal a dar exemplos de operações conjuntas de sucesso, o diretor da UNC3T escolheu falar "de quatro operações" nas quais "a Polícia Judiciária participou nos últimos seis meses" e que servem "para evidenciar esta constante colaboração com outras polícias, quer a nível europeu, quer a nível mundial, até com os Estados Unidos".
Vítimas em Portugal afetadas pelo HIVE
A primeira operação destacada por Carlos Cabreiro foi o desmantelamento do grupo de ransomware HIVE, nome dado ao tipo de vírus que era usado para ataques e que era um dos grupos mais relevantes a nível mundial na distribuição de ransomware. Quando tinha sucesso e infetava as suas vítimas, fazia com que estas fornecessem os seus dados, encriptava-os e depois “exigia que pagassem determinados valores" em troca de devolver a informação. Mas não só. Se o resgate não fosse pago, os alvos também eram ameaçados de que a informação seria vendida na dark web.
Apesar do grupo ter feito vítimas em todo o mundo, segundo o diretor da UNC3T, "grande parte dos alvos dos ciberataques ou grande parte das vítimas em Portugal”, durante 2022, “foram afetadas por este tipo de ransomware".
E as vítimas portuguesas não foram poucas. "Por exemplo, algumas unidades hospitalares, algumas empresas de análise laboratorial, municípios, companhias de transportes de aviação, unidades hoteleiras, empresas tecnológicas, entre outras", exemplifica o responsável da PJ, adiantando que a capacidade de colaboração e organização entre todas as entidades estrangeiras envolvidas acabou por permitir "desmantelar o grupo que tratava desta distribuição".
E qual o papel do país nesta operação? "No que diz respeito ao ransomware HIVE, Portugal acolheu grupos de trabalho para culminar neste desmantelamento", recorda Carlos Cabreiro. O trabalho da polícia tem várias vertentes, explica o mesmo responsável e "uma coisa é o caso concreto de investigação que vai levar à tentativa de determinação da autoria de quem cometeu um ilícito sobre uma determinada empresa, sobre um determinado hospital", todavia, identificar os autores não garante que a atividade criminosa não continua. Isto porque quando um grupo é detido, o vírus que os criminosos utilizavam continua a existir. E por isso as autoridades levam a cabo uma outra vertente, que passa pelo “desmantelamento de um software, que está a afetar na sua totalidade um conjunto enorme de vítimas. E para isso tem de haver reuniões constantes de avaliação".
Distribuição de material hacker
O segundo caso escolhido "teve a ver com o desmantelamento em Portugal de um dos maiores fóruns de distribuição de material hacker, que é o mercado ilegal, o RaidForuns.
"Tinha milhões de utilizadores e que o que se predispunha a fazer era comercializar ferramentas, fornecer ferramentas de hacking a quem quisesse adquiri-las, precisamente para continuar a atividade de exfiltração de dados de vítimas. Esta operação aparece descrita nos comunicados como a “Operação Tourniquete”", esclarece o diretor da UNC3T. Recorde-se que este era "considerado o maior fórum de hackers do Mundo" e as autoridades descobriram que era liderado por um jovem português.
Esta investigação, em que a participação da PJ foi determinante, passou também pelos serviços secretos norte-americanos. E a Europol também colaborou. Muitos dos crimes cometidos foram praticados com recurso a um servidor informático alojado em Portugal.
Na verdade, esta investigação identificou um suspeito português como um dos principais administradores do RaidForums. A CNN Portugal teve acesso à investigação dos tribunais norte-americanos que acusavam um jovem hacker de Viseu de ciberataques - e de lucrar através de um dos sites mais poderosos dos mercados de dados e cartões bancários roubados. Ainda adolescente já controlava e comandava o Raidforums, e terá chegado a traficar mais de 10 mil milhões de dados individuais roubados. Acabou preso no Reino Unido em janeiro de 2022, depois da Interpol ter emitido um mandado de captura internacional a pedido das autoridades dos EUA.
Falsa gestora de criptoativos
Mas o cibercrime não se resume aos ciberataques. Muitas vezes os criminosos utilizam intermediários para conseguir esconder com sucesso o rasto do dinheiro roubado. Por isso, a terceira operação referida pelo responsável da Polícia Judiciária está relacionada "com criptoativos, que é a “Cryptostorm”. Foi a queda de uma falsa gestora de criptoativos. Uma plataforma comercial de troca que comercializada e trocava criptoativos, chamda Bitzlato. O sucesso da missão foi “publicitado, quer por nós, quer pelas autoridades americanas", recorda Carlos Cabreiro.
A plataforma "estava claramente a ser usada para o branqueamento de capitais, precisamente proveniente do crime informático. Estamos a falar de ransomware, de ciberataques, de fraudes ou vendas fraudulentas, todo este tipo de crime". E aqui, Carlos Cabreiro destaca: "Consideramos de extrema relevância a participação neste tipo de operações de desmantelamento destas plataformas, destas valências que os criminosos põem ao dispor do crime".
Compra e venda de dados
Por fim, a última operação que Carlos Cabreiro destaca "é a “WT1Shop", que apenas contou com a ação da PJ e do FBI. "Foi uma cooperação concreta com as autoridades norte-americanas e em que se apreendeu em Portugal um servidor, com esta denominação de 'WT1Shop', e que suportava um esquema criminoso de compra e venda de dados de informações pessoais. Era ali que estavam armazenados os dados das pessoas, mais uma vez fruto de acessos ilegítimos, intrusões, que são feitos por criminosos informáticos".
Mas estas quatro operações realizadas apenas "nos últimos seis meses", são apenas uma parte de tudo o que acontece diariamente. "Fora aquelas situações concretas de investigação que temos nos nossos inquéritos, nas nossas investigações, a cooperação internacional é o dia a dia".
"Vamos com certeza necessitar dos outros"
Relatórios recentes indicam que a cibercriminalidade cresceu nos últimos anos e irá continuar a crescer. E esta é uma área com destaque na colaboração entre as polícias de todo o mundo. É assim agora. Será assim no futuro?
"Sim, o crime, quer o informático, quer o praticado com recursos a meios informáticos. Porque não podemos esquecer o vasto conjunto de ilícitos que estão suportados na tecnologia, mas que não são, na essência, crimes informáticos. Burlas, corrupção, fraude fiscal, todos estes ilícitos estão a ser suportados pela tecnologia. Esta transição está a ocorrer de forma, diria, até abrupta, porque toda a nossa vida está a passar para o digital", sublinha Carlos Cabreiro.
E é por isso mesmo que a Polícia Judiciária tem consciência da necessidade da colaboração de todos. "Essa postura, que a Polícia Judiciária tem em organismos internacionais como a Europol, a Interpol, as ligações bilaterais que tem com vários países, vai intensificar-se. E a participação que temos em fóruns, em formação, em vários componentes daquilo que são as necessidades da investigação do cibercrime também", explica.
Na Europol estão presentes todos os países europeus e é um lugar, por excelência, para partilha de informação. O FBI, por exemplo, tem membros permanentes nesta organização. Mas cada caso é um caso, e não é obrigatório que a troca de informação passe sempre por esta entidade. "A Europol é um local de partilha onde a troca se faz por um sistema garantístico, para que haja segurança nesta troca de informação". Carlos Cabreiro acrescenta que "essa colaboração tanto se faz a nível bilateral, como dentro deste conjunto de regras de colaboração que são estabelecidos quer na Europol, quer na Interpol".
Do terrorismo ao branqueamento de capitais
Mas os casos de sucesso de colaboração da Polícia Judiciária vão além dos quatro exemplos dados pelo diretor da UNC3T. Há mais exemplos:
- Em fevereiro de 2022, um estudante português planeava cometer um ato terrorista. O país era surpreendido com a detenção por parte da Polícia Judiciária do jovem, de 18 anos, por suspeitas de estar prestes a cometer um atentado terrorista na Faculdade de Ciências da Universidade de Lisboa. Parecia uma história inspirada num filme norte-americano, mas era real e, que se saiba, caso único no país. O alerta chegou do outro lado do Atlântico, do FBI.
Diariamente as autoridades norte-americanas fazem uma monitorização da Internet em geral, das redes sociais e da dark web. Esta é uma forma de prevenção do fenómeno do terrorismo. Durante conversas em chats, foram detetadas conversas nas quais intervinha o jovem português e onde este anunciava a intenção que tinha de cometer um atentado em Portugal. O alerta foi levado a sério.
Em dezembro de 2022, o estudante acabou condenado a dois anos e nove meses de prisão por posse de arma proibida, mas foi absolvido do crime de terrorismo. O Ministério Público fez saber que ia recorrer da pena.
- A PJ e o FBI desmantelam rede de lavagem de dinheiro para máfia russa. A rede tinha o nome de código QQAAZZ, trabalhava para a máfia russa e foi desmantelado pela Polícia Judiciária em colaboração com o FBI. A investigação começou em 2019. Parte do grupo de criminosos que fazia lavagem de dinheiro em Portugal foi julgada e condenada em outubro de 2021.
O primeiro alerta foi dado por um banco: o titular de uma conta suspeita de atividades ilícitas estava a tentar levantar dinheiro vivo - quatro mil euros. Os agentes da PJ foram de imediato ao local sem imaginar que aquele seria o início de uma operação que iria conseguir apanhar um importante grupo criminoso que fazia branqueamento de capitais, que estava ligado à máfia de leste e tinha como os principais clientes elementos da máfia russa.
“O QQAAZZ foi totalmente desmantelado”, garantiu Paulo Gonçalves, Inspetor-Chefe em Coordenação na Secção Central de Investigação da Criminalidade informática e Tecnológica da UNC3T, que contou à CNN Portugal todos os detalhes desta operação em que a Polícia Judiciária em colaboração com a FBI conseguiu travar esta rede que operava em vários países, mas tinha Portugal como palco principal: aqui criaram 32 empresas, abriram 272 contas - em 15 instituições bancárias diferentes – e os elementos do grupo usaram 28 identidades falsas.
Samantha Shelnick, agente do FBI que coordenou a investigação internacional, juntamente com a Polícia Judiciária, deu uma entrevista exclusiva à CNN Portugal, onde considerou que "a habilidade da polícia portuguesa foi fantástica".
- Dois iraquianos acusados de adesão a organização terrorista e crimes de guerra. Em setembro de 2022 foi também notícia que o Departamento Central de Investigação e Ação Penal (DCIAP) acusou dois iraquianos que alegadamente pertenciam ao movimento jihadista Daesh de adesão a organização terrorista e de crimes de guerra contra as pessoas. Os suspeitos estavam em Portugal desde março de 2017.
Coadjuvado pela Unidade Nacional Contraterrorismo da Polícia Judiciária, o MP salienta que a investigação foi realizada, também pela primeira vez, em estreita cooperação com a UNITAD (Investigative Team to Promote Accountability for Crimes Commited by Da’esh/ISIL da ONU). A investigação contou ainda com a cooperação das autoridades iraquianas. Mas não só. Houve colaboração com o Departamento de Justiça e com o Departamento Federal de Investigação (FBI) dos Estados Unidos da América, com a Europol e com a operação militar Operation Gallant Phoenix – The Global Coalition Against Daesh.
Leia aqui a continuação da entrevista com Carlos Cabreiro, Diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade tecnológica da Polícia Judiciária (UNC3T) sobre estas colaborações internacionais.+
