A Polícia Federal encontrou na investigação sobre o ataque aos sistemas do Ministério da Saúde, ocorrido em 2021, indícios de que o principal nome do grupo hacker Lapsus$ no Brasil acessou credenciais do PJe (Processo Judicial Eletrônico).

O PJe é resultado de uma parceria entre o CNJ (Conselho Nacional de Justiça) e diversos tribunais do país para criar uma plataforma de processos que permite acesso digital a trâmites processuais.

A plataforma abarca tanto processos públicos como aqueles com sigilo de Justiça –somente partes envolvidas e cadastradas no sistema podem acessar.

A PF passou a suspeitar da atuação indevida do grupo hacker ao sistema após encontrar rastros no sistema deixados por Thiago Nathan, 24, apontado pelos investigadores como liderança do Lapsus$ no Brasil.

A reportagem não conseguiu contato com a defesa do hacker.

Nathan foi preso pela PF em 19 de outubro na cidade de Feira de Santana, Bahia. Antes de ser preso, ele havia sido alvo de busca e apreensão em 16 de agosto. Durante a ação em sua casa na Paraíba, a PF apreendeu dezenas de terabytes de arquivos armazenados por ele e encontrou os registros de suas transações com criptomoedas.

Além das credenciais, que acenderam o alerta na PF, os peritos envolvidos na apuração também encontraram informações com Nathan sobre um "teste de rota", procedimento comumente utilizado por hackers antes de colocarem em prática um ataque contra os sistemas alvos.

A suspeita de acesso indevido ao PJe se junta a outras que recaem sobre Nathan e o grupo Lapsus$.

No Brasil, entre os alvos do setor público, o grupo promoveu ataques contra sistemas do Ministério da Saúde, da CGU (Controladoria-Geral da União), do Ministério da Economia, da Enap (Escola Nacional de Administração Pública), da ANTT (Agência Nacional de Transporte Terrestre), da PRF (Polícia Rodoviária Federal), dos Correios e da própria Polícia Federal.

Um desses ataques, em dezembro do ano passado, tirou do ar o ConecteSUS, responsável pelo certificado nacional de vacinação.

O Lapsus$ também é suspeito dos ataques às empresas Localiza e Americanas no Brasil. No exterior, o grupo entrou na mira das autoridades do Estados Unidos, Portugal e Reino Unido após ações contra um canal televiso português e as empresas Electronic Arts, Nvidia e Microsoft Azure.

Para avançar na investigação sobre a atuação do Lapsus$ no Brasil, a PF fez um acordo de cooperação internacional com o FBI (a polícia federal americana) e teve acesso ao conteúdo de uma apuração sobre o grupo feita pelos americanos.

A PF, a partir do material compartilhado, conseguiu colocar no papel a estrutura e integrantes do grupo e delinear o modo de atuação dos hackers nos ataques.

As investigações também conseguiram comprovar a atuação de Nathan e a proximidade do brasileiro com um inglês apontado como líder do Lapsus$.

O trabalho foi possível porque entre o material enviado pelo FBI ao Brasil há conversas travadas entre os hackers por meio do aplicativo Telegram.

As trocas de mensagens mostram como Nathan era muito acionado pelo integrantes do Lapsus$ no exterior pelo fato de conseguir acessos a credenciais sigilosas de acesso, iguais às do PJe encontradas em seus arquivos.

O hacker ocupava lugar de destaque na estrutura do Lapsus$ devido a sua habilidade e conhecimento em relação a órgãos governamentais no Brasil.

A atuação de Natham, entretanto, não se restringia ao setor público. Segundo relatos feito à reportagem, mensagens apontam a participação direta do brasileiro no ataque contra a Nvidia, empresa de tecnologia americana.

Ele teria fornecido dados solicitados por outros integrantes do Lapsus$ durante a tentativa de de acesso aos sistemas da empresa.

Como mostrou a Folha, além de mapear a atuação de Nathan nos ataques, a PF também analisa as transações financeiras e os valores encontrados em criptomoedas com o hacker para avançar nas investigações sobre possíveis financiadores ou compradores de informações acessadas por ele.

Ao longo da investigação, os policiais já encontraram registros de cerca de R$ 15 milhões em criptoativos de propriedade de Nathan. A PF também descobriu que ele possui uma propriedade rural avaliada em R$ 2 milhões.

Parte dos valores, de acordo com a apuração, tem origem na venda de banco de dados de instituições que, segundo a polícia, foram roubados por ele.

A PF tenta agora descobrir se o restante tem origem em financiadores dos ataques aos sistemas de órgãos públicos e empresas ou em compradores do conteúdo roubado dos alvos.

A investigação tramita na DIP (Diretoria de Inteligência Policial) da PF e conta com o apoio de peritos especializados em crimes cibernéticos e em informática para analisar o material coletado com Nathan.