Não se sabe bem quem são, nem quantos são, mas esta semana atacaram a EDP e tentaram a fazer o mesmo à Altice. O seu nome não é contudo totalmente estranho às autoridades: o CyberTeam tem membros com antecedentes criminais, alguns vindos de um outro grupo bem maior e mais conhecido, o Anonymous. Agora estão a ser investigados pelo Ministério Público (MP), que abriu um inquérito ao seu ataque à EDP, e sob a vigilância do Centro Nacional de Cibersegurança (CNCS), que acompanha diariamente as atividades destes piratas informáticos, como confirmaram estas duas entidades ao Observador.

O CyberTeam — do qual fazem parte portugueses, mas também cidadãos de outras nacionalidades, segundo confirmou o CNCS — ameaça agora com um ataque em larga escala no dia 25 de abril. Questionado pelos utilizadores do Twitter sobre quem vão atacar, o que querem e qual é o seu objetivo, o grupo responde:

“A mensagem é enviada diariamente, todas as nossas atividades deixam algumas mensagens e quebra-cabeças para a Polícia Judiciária investigar, sabemos que eles gostam de jogos”

O grupo que já atacou várias entidades — de clubes de futebol a universidades — chamou de novo sobre si a atenção na terça-feira quando reivindicou o ataque informático feito no dia anterior à EDP. Nesse dia, 13 de abril, logo pela manhã, alguns trabalhadores da EDP começaram a detetar problemas. Ou era o email que, quando usado no telemóvel, não fazia atualizações. Ou algumas funcionalidades que bloqueavam na intranet— a rede interna da empresa a que só os funcionários podem aceder. Não era nada que os impedisse de trabalhar normalmente, mesmo estando a fazê-lo a partir de casa. Por exemplo, continuava a ser possível enviar e receber emails, mas a página simplesmente não atualizava quando o acesso era feito através da aplicação móvel. A intranet também continuava operacional, apenas bloqueava aqui e ali.

Se alguns trabalhadores até pensaram que o problema seria com a internet das suas casas ou com os seus próprios computadores, outros começaram a queixar-se das dificuldades. E fizeram-no através de uma aplicação que a elétrica tem e que serve para isso mesmo: reportar problemas técnicos. As queixas começaram a surgir progressivamente — num número que tornou claro que era impossível que todos os trabalhadores estivessem a ter problemas de internet em casa ao mesmo tempo. Teria de ser algo mais.

Até porque, ao mesmo tempo, também começavam a surgir problemas nos serviços de atendimento ao cliente: no call center eram reportadas algumas interrupções na linha de atendimento telefónica e na área de cliente online algumas funcionalidades bloqueavam, à semelhança do que acontecia com a intranet.

Bastou um funcionário reportar uma dificuldade para que alguém começasse a tentar resolvê-la, pensando tratar-se de um problema técnico. Mas não era. Segundos depois, o sistema de segurança da EDP viria a dar o alerta: tratava-se de uma intrusão. Foram aplicadas as medidas necessárias para o travar. O Centro Nacional de Cibersegurança disponibilizou de imediato apoio técnico e de comunicação para a gestão do incidente. À tarde chegou a confirmação oficial: a elétrica tinha sido alvo de um ataque informático.

EDP alvo de ataque informático que bloqueou sistemas de atendimento aos clientes

O ataque aos serviços informáticos da EDP foi reivindicado no dia seguinte. O grupo CyberTeam recorreu às redes sociais, e fê-lo através de uma publicação feita no Twitter. No tweet, os piratas do grupo deixavam duas ameaças. A primeira, relativamente ao próximo ataque: seria à Altice Portugal. Foi cumprida na madrugada dessa quinta-feira, mas a empresa garante que as consequências “foram nulas”. A outra é a que agora preocupa as autoridades: um ataque em larga escala no próximo dia 25 de abril. “Fique atento, 25 de abril está chegando”, lê-se na publicação.

EDP – Energias de Portugal ataque realizado por CyberTeam Portugal, o próximo ataque será realizado na Altice Portugal, afetando os serviços MEO entre outros… ????

ps: fique atento, 25 de abril está chegando!
Report: https://t.co/CbtF5qhk4n#CyberTeam #TangoDown #OP25Abril pic.twitter.com/4wf0ek8k0J

— CyberTeam (@CyberTeamReborn) April 13, 2020

Membros presos em 2018 e o renascer do grupo em 2020

Mas quem são e há quanto tempo existem? Nada é claro sobre os CyberTeam. Fonte oficial do Centro Nacional de Cibersegurança disse ao Observador que o grupo opera em Portugal pelo menos “há cerca de três anos” e que, desde então, “mantém uma atenção diária de alerta de segurança com relação a todas as ações maliciosas associados a estas práticas de hacktivismo — e não apenas focado neste grupo em particular, em articulação com as restantes autoridades”.

Numa das suas publicações, um dos membros do grupo, Zambrius, aponta para 2009 como o ano em que o grupo começou a atividade, não explicitando se a data se refere a Portugal ou a outros países. Nas redes sociais, o CyberTeam tem atividade, pelo menos, desde setembro do ano passado. Mas pelo que se vai percebendo, as contas do grupo vão sendo eliminadas frequentemente pelo Facebook e pelo Twitter — daí que a data de setembro de 2019 possa apenas ser a de criação da mais recente.

Alguns dos membros do CyberTeam são conhecidos das autoridades por terem feito parte de outros grupos semelhantes, como o Anonymous, segundo apurou o Observador. É o próprio grupo que, numa das publicações, admite que os ataques levados a cabo em 2016 e 2017 acabaram com “alguns” dos seus “elementos presos” em 2018. Aliás, no Facebook, chegam a partilhar uma notícia que dá conta de uma acusação do MP, de 2018, em que 23 arguidos foram acusados de 376 crimes, entre eles associação criminosa e sabotagem informática — dando a entender que os suspeitos eram seus conhecidos ou mesmo membros.

No grupo dos 23 acusados, segundo noticiou o Jornal de Notícias na altura, estava um hacker, um ajudante de pedreiro de 24 anos, que, em 2013, terá conseguido entrar nas páginas da Organização das Nações Unidas, das câmaras municipais de Caminha e Viseu e de empresas de gestão de fundos do Bangladesh e da Rússia. De acordo com a acusação citada pelo jornal, o hacker, Francisco Texugo, conseguiu entrar, entre junho de 2015 e abril de 2016, em servidores de 366 organizações em todo o mundo.

Os restantes foram acusados por terem atacado os sites da Procuradoria-Geral da República, da RTP, de partidos políticos, da Polícia Judiciária, do Banco de Portugal e do cantor Tony Carreira. Neste último caso, o autor foi um jovem de 14 anos (ainda que com a ajuda de outro de 17), que não foi acusado por ser menor de 16 anos e, por isso, inimputável.

Pirata informático que atacou a PJ não vai ser julgado por ser menor

No entender do Ministério Público, o objetivo do grupo não era ganhar dinheiro, mas provar aquilo que conseguiam fazer. Queria notoriedade, reconhecimento e ser falado pela comunicação social. Não é certo que estes arguidos acusados pelo MP, ou alguns deles, tenham alguma relação com o CyberTeam. Apenas é certo que o grupo partilhou a notícia relacionada com esta acusação — dando a entender terem alguma ligação entre si.

Ao longo das várias publicações nas redes sociais, o grupo deixa a ideia de que este regresso recente à atividade é uma espécie de vingança: “Hoje vamos relembrar quem nós somos!”, escreveram. “Em 2020, oficialmente o CyberTeam renasceu”, lê-se noutra publicação.

Atacou clubes de futebol, a associação de árbitros e Isabel dos Santos

“80% dos websites de Portugal podem ser modificados pela CyberTeam Portugal”, lia-se ainda numa outra publicação no Facebook dessa altura. Noutra, o grupo garantia ter obtido “acessos a diversos sistemas importantes do setor privado e do setor público, incluindo alguns tribunais, clubes, empresas privadas, etc”. “Queremos passar a palavra, se necessário invadimos uma rede televisiva!”, ameaça na mesma publicação onde fazia referência a praticamente todos os órgãos de comunicação social do país.

É precisamente através das redes sociais que o CyberTeam publicita alguns dos seus ataques e publica o que parecem ser provas. Isto é, imagens onde se podem ver os resultados dos alegados ataques: sites de entidades modificados e com referências ao grupo ou simplesmente linguagem de programação indecifrável para a maioria das pessoas.

A lista é longa. Uma das primeiras publicações, em outubro de 2019, fala até num ataque informático à Agência Espacial Norte-Americana (NASA), feito por um “bom hacker“, o Kuroi. No entanto, a NASA nunca confirmou ou falou deste alegado ataque e das suas consequências. A Federação Portuguesa de Natação, a  Universidade dos Açores, a Polícia Nacional do Panamá ou a Marinha Portuguesa são outras entidades que os piratas dizem ter atacado.

Uma boa parte das publicações resumem-se a avisos ou ameaças: “É necessário demonstrar algo mais para o mundo começar a ter mais respeito e valorizar as nossas crianças com conhecimentos puros de se conhecer”, lê-se numa delas. Também Isabel dos Santos é alvo de algumas provocações. O grupo alega ter atacado o site da empresária angolana. “Bom dia, Isabel dos Santos, você já conferiu o seu website?“, perguntam numa publicação de há 3 meses que mostra uma imagem onde se lê que não é possível aceder ao site da empresária.

Também a Associação Portuguesa de Árbitros de Futebol foi alvo do CyberTeam, como a própria associação confirmou. No topo do site passou a estar uma imagem de Rui Pinto, acompanhada por uma mensagem na qual o grupo acusava as autoridades portuguesas de não estarem a fazer investigações a partir das informações disponibilizadas na plataforma Football Leaks. “O que é que Portugal está a fazer para combater a corrupção no futebol?”, perguntavam.

Site da Associação Portuguesa de Árbitros de Futebol foi pirateado com imagem de Rui Pinto

A imagem de Rui Pinto não foi usada ali por acaso: o ataque aconteceu na semana em que se ficou a saber que o hacker ia a julgamento por 90 crimes. O CyberTeamdiz-se um forte apoiante do mais conhecido hacker português: várias vezes partilha imagens e vídeos seus, tendo até anunciado que ia participar numa vigília de apoio ao hacker que agora se encontra em prisão domiciliária e a colaborar com a Polícia Judiciária, depois de vários meses em prisão preventiva.

Também clubes de futebol fazem parte da lista de afetados pelo CyberTeam. O grupo alega ter já atacado o Benfica, o Sporting e ameaça atacar o FC Porto. O ataque aos leões foi confirmado pelo próprio clube: os piratas informáticos deixaram numa das páginas uma referência a Rui Pinto, pedindo a sua libertação.

Há cerca de uma semana, o CyberTeam anunciou ter atingido o clube verde e branco pela segunda vez. “Desejamos à Polícia Judiciária o começo de uma boa investigação policial, jogue os corruptos para fora do campo”, lia-se numa publicação feita no Facebook.

Divulgou emails da Presidência e denunciou rede de pedofilia

Se muitos dos ataques que o grupo diz ter levado a cabo não foram confirmados oficialmente — à exceção da intrusão à Associação Portuguesa de Árbitros de Futebol e ao Sporting —, outros foram amplamente noticiados devido à sua magnitude e aos seus efeitos.

É o caso do ataque a que os piratas intitularam de #OPPedoGate. Em fevereiro deste ano, o CyberTeam foi noticiado internacionalmente por ter invadido sites oficiais de dez cidades do estado brasileiro da Paraíba para denunciar uma rede internacional de pedofilia. De acordo com o La Repubblica, hackers de nacionalidade portuguesa e brasileira, segundo o jornal italiano, usaram esses sites para publicar uma longa lista com sites de pornografia infantil, bem como o nome, morada e outros dados de pedófilos.

O líder da CyberTeam, que assina como Spy_Unkn0wn, falou com o La Repubblica e explicou que o objetivo do ataque era obrigar as autoridades a intervir. “Já informámos a polícia e algumas autoridades locais, mas nem nos responderam”, disse o hacker.

Segundo confirmou o CNCS ao Observador, o CyberTeam é também o mesmo grupo que, no início de março, divulgou milhares de endereços de emails e respetivas palavras-passe da Presidência da República, bem como de partidos políticos, a Polícia Judiciária, militares, banca, clubes de futebol e várias instituições nacionais. O ataque aconteceu no dia 4 de março — data do arranque do julgamento de 21 acusados de pirataria informática, entre eles Rui Cruz, fundador do TugaLeaks.

EDP e Altice, os alvos mais recentes. Grande ameaça para dia 25 de abril

Pouco depois de a EDP ter anunciado a intrusão nos seus sistemas, foi noticiado que os piratas informáticos tinham pedido um resgate de 1580 bitcoins (o equivalente a 9,8 milhões de euros): se a elétrica não pagasse o valor dentro de 20 dias, o grupo tornaria públicos todos os dados que teria alegadamente roubado à empresa. E que esse pedido de resgate teria sido revelado pelos próprios, numa publicação feita na dark net. Mas tal não passou de um rumor, como quer o grupo, quer a EDP vieram a confirmar.

A elétrica negou logo no próprio dia a existência de qualquer pedido de resgate e garantiu que não havia qualquer evidência de que os dados dos clientes tivessem sido violados: as informações mais sensíveis estão altamente protegidas. Também não foi detetada qualquer intrusão aos sistemas de abastecimento da rede de energia.

Os hackers negaram igualmente ter pedido 1580 bitcoins para não revelar dados roubados à EDP. No dia a seguir à intrusão, o grupo reivindicou o ataque numa publicação no Twitter. Questionado por um utilizador sobre o resgate, o CyberTeam respondeu: “Primeiramente, nenhum pedido foi realizado, essas informações são completamente falsas, a comunicação social e a verdadeira máfia que se aproveita do poder de voz que lhes é concedido para ganhar alguns euritos, a própria EDP negou esse tipo de informação”.

Dois dias depois, os danos ainda estavam a ser avaliados. Fonte oficial da EDP disse ao Observador que, tendo em conta a dimensão da empresa, essa avaliação é mais demorada — até porque a elétrica não desvalorizou o ataque, apesar de não ter causado danos que colocassem em risco o seu normal funcionamento. Assim que o ataque ocorreu, a EDP notificou de imediato o CNCS, que “disponibilizou de imediato apoio técnico e de comunicação para a gestão do incidente”.

Esta quinta-feira, logo pela madrugada, foi a vez da Altice — um ataque anunciado pelo grupo no próprio dia em que atacou a EDP. Pouco antes das sete da manhã, o CyberTeam partilhou uma imagem nas redes sociais em que acusava a antiga Portugal Telecom de ter “uma falha nas torres de transmissão que permite ver todas as mensagens enviadas e ouvir as conversas”.

Altice Portugal/Telecom pirateada pela CyberTeam@altice_portugal Nós não ameaçamos, o que é prometido é devido!

[#hacked – #infosec – #cybersecurity – #websecurity]
Database: https://t.co/rT6mP31nZT

aka Zambrius & Cyb3rK1nG – #CyberTeam pic.twitter.com/AZeLl96BMA

— CyberTeam (@CyberTeamReborn) April 16, 2020

A acusação foi, no entanto, negada pela empresa, que caracteriza as afirmações dos piratas como “completamente falsas”. A Altice garantiu ao Observador que “as consequências foram completamente nulas” e que não terá havido exposição pública dos dados dos clientes, nem estão em risco os sistemas de abastecimento de rede.

André Figueiredo, diretor do departamento de coordenação institucional, corporativa e comunicação da Altice, afirma que todos os dias são alvos de ataques cibernéticos, “às dezenas por semana”, “sem que causem impacto nos sistemas”. É o próprio quem explica como o grupo de hackers “tentou atacar uma plataforma na área residencial e ter acesso aos dados”, mas que, apesar de várias tentativas, não tiveram sucesso.

Na tarde desta quinta-feira, veio a resposta: no Twitter, o CyberTeam garante ter um documento com 9884 acessos dos sistemas. E diz ainda que já fez uma cópia segura de todos os dados.

Altice Portugal "consequências foram nulas", aqui vai um pequeno documento com 9884 acessos dos sistemas :)

Alexandre Filipe Fonseca, fique calmo, já foi realizado uma cópia segura de todos os dados…
Database: https://t.co/PnPjxowx7H
Prova: https://t.co/mJW5T4JCiJ#CyberTeam pic.twitter.com/c7S3pvRsPt

— CyberTeam (@CyberTeamReborn) April 16, 2020

O grupo está agora sob vigilância dos investigadores e do Centro Nacional de Cibersegurança. O Ministério Público confirmou ao Observador que abriu um inquérito ao ataque informático à EDP. Ainda assim, ninguém consegue prever o que vai acontecer no dia 25 de abril.

*Com Luís Vaz Fernandes