Online é conhecido como Zambrius. Fora dos ecrãs é Tomás Pedroso, um jovem de 22 anos, que vive na Ericeira com a família. A título profissional afirma exercer a “atividade de análise de falhas de sistemas”. Terá começado com apenas nove anos e diz que “nunca o fez com fins lucrativos”, uma vez que esta é a sua “paixão”. Para mostrar aos outros as “falhas de segurança”, mal dormia ou comia, estando sempre agarrado ao computador.

Foi Tomás Pedroso que fundou a Cyberteam, um grupo de hacktivistas que “se dedica à prática de atividades relacionadas com a exploração de vulnerabilidades de sites, de entidades públicas e privadas portuguesas” e estrangeiras “sem qualquer autorização dos seus titulares”. De acordo com um acórdão do Tribunal Judicial da Comarca de Lisboa, a que o Observador teve acesso, o grupo começou a operar em 2011, mas ganhou um “impulso renovador a partir de setembro de 2019, reivindicando os seus ‘ataques’ nas redes sociais, através de fotografias, capturas de ecrã ou outros meios”.

Proveniente de uma família “humilde”, “com baixo grau de escolarização” e com uma condição económica “fragilizada”, Zambrius, a quem foi diagnosticado um transtorno do défice de atenção e hiperatividade (TDAH), terá dificuldades em conversar com outras pessoas, o que o terá levado a refugiar-se na informática. É o “gosto” pelo mundo dos computadores e pela identificação de supostas falhas de segurança que o levam a aceder a sistemas do Benfica e da Altice, em 2020. Foi condenado, em janeiro de 2022, a seis anos de prisão por 28 crimes de acesso ilegítimo agravado, desvio de dados e dano informático — “realizados num lapso temporal de cerca de dez meses”. Neste momento, aguarda em liberdade o resultado do recurso que interpôs e continua a reivindicar ataques.

É principalmente através das redes sociais que faz publicações que servem de “aviso às pessoas” da “vulnerabilidade dos sistemas” a que é suspeito de aceder. Foi isso que fez com o ciberataque que afetou o Global Media Group. No Twitter, Tomás Pedroso escreveu sobre o ataque, apontando a autoria para um membro da Cyberteam, o “@madsyst3m”, que até ao momento ainda não fez qualquer comentário.

Quanto à dona de meios de comunicação como TSF e Jornal de Notícias, admitiu que alguns dos seus sites tinham sido alvo de um ciberataque que, segundo o presidente do grupo, não causou constrangimentos. Marco Galinha disse, à agência Lusa, que os ataques incidiram sobre sites antigos, em WordPress. Por exemplo, o DN Life, que foi um dos alvos, apresentava a mensagem “hacked by Cyber Team“.

Global Media Group got hacked!https://t.co/teR54jjdkRhttps://t.co/i3VUCakx2yhttps://t.co/eJVrhoiv5n (extra)https://t.co/A5mmdbmkpf
by @madsyst3m#CyberTeam #HackThePlanet pic.twitter.com/pZGw4IehJQ

— Zambrius (@zambathegod) February 8, 2023

É comum a Cyberteam falar sobre os ataques que realiza nas redes sociais, mas o advogado Diogo Pereira Coelho considera que, embora possa acontecer, “em termos abstratos não é comum que os hackers reivindiquem publicamente a responsabilidade por um ataque cibernético”. Em declarações escritas enviadas ao Observador, diz que em alguns casos “existem hackers que eventualmente podem assumir a responsabilidade por determinados ataques, muitas vezes em jeito de publicidade e com vista a atrair as atenções para a sua causa ou mesmo para ganhar notoriedade no seio da comunidade digital”.

Considerando que “é bastante difícil verificar a verdadeira identidade da pessoa ou do grupo por detrás de um ataque cibernético”, Diogo Pereira Coelho não descarta que os piratas informáticos também “mintam sobre o seu envolvimento num determinado ataque”.

O primeiro contacto com a Justiça e os ataques que reivindicou

Era ainda menor de idade quando teve o primeiro contacto com a justiça. Tomás Pedroso foi detido pela primeira vez em 2017, aos 16 anos, no âmbito da operação Caretos. De acordo com o Diário de Notícias, a operação conduzida pela Polícia Judiciária desmantelou uma rede de hackers que fez ataques a várias estruturas do Estado, entre as quais a Procuradoria-Geral da República e a própria PJ. Devido à idade foi alvo de medidas cautelares, tendo sido internado num centro educativo até completar 18 anos.

Tomás Pedroso atingiu a maioridade no final de dezembro de 2018. As notícias que o ligam a novos ciberataques só surgem mais de um ano depois. A 19 de janeiro de 2020, entre as 4h00 e as 10h00, em conjunto com “NullC0d3r”, obteve “credenciais de acesso, compostas por username e password,” de um funcionário da Associação Portuguesa de Árbitros de Futebol (APAF). De acordo com o acórdão a que o Observador teve acesso, foi através desses dados que conseguiu aceder “ao sistema informático da APAF” e “criou uma nova conta de utilizador na lista de contas de publicador, com a denominação Cyberteam”.

Foi através dessa conta que os piratas informáticos conseguiram publicar uma imagem de Rui Pinto nas várias janelas do site, como “forma de protesto pela privação de liberdade” do autor do Football Leaks. A acompanhar a imagem estavam hashtags, como “cyberteam”, “freedom” (liberdade, em português) ou “antigov” (antigoverno), e frases como “Associação Portuguesa de Árbitros de Futebol Hacked by Cyberteam, Hacked by ‘Os suspeitos do costume'” e “levantei o cartão verde para todo o futebol português e, exclusivamente, afirmo ‘F***-se o Fut (…) tuga”.

O Tribunal Judicial da Comarca de Lisboa considera que Tomás Pedroso “publicitou o ataque direcionado à APAF no seu perfil no Facebook”, com uma imagem que mostrava o site com o “conteúdo alterado”. Após o ciberataque, a página da Associação Portuguesa de Árbitros de Futebol ficou sem funcionar durante 48 horas. E o hacker não ficou por aqui, mas o ataque seguinte teve um alvo diferente.

Dois meses depois, a 2 de março, o visado foi o Benfica. Zambrius entrou na plataforma AppCorporate do Benfica Estádio, algo que confirmou no Instagram (que já não está disponível) ao partilhar uma “imagem da área reservada da plataforma backoffice” com a legenda “c****** invadi a p*** do Benfica” e “tenho a porra do Benfica”. Quatro minutos depois, o pirata informático fez um novo post, com uma nova imagem, onde revelava que tinha sido o autor do ataque: “Benfica Hacked by CyberTeam aka real Zambrius by eu kkk (so rir kkkk)”.

À época, segundo o acórdão do tribunal, o backoffice das aplicações Benfica Corporate Club correspondia “a uma versão antiga que não estava em uso, mantendo-se online apenas para testes”. Tomás e “terceiros”, que não foram identificados, utilizaram “os formulários disponíveis” na plataforma para fazer o “carregamento de conteúdo malicioso”. Por exemplo, alteraram os termos e condições de uso da plataforma e o nome atribuído a quatro jogos de futebol para “Hacked by CyberTeam – #OP4March #portuga/powerhacking”.

Ainda em “conjugação de esforços com outros indivíduos não concretamente identificados”, mas que, alegadamente, farão parte da Cyberteam, Zambrius conseguiu aceder ao MyBenfica que, em 2020, era utilizado como backoffice do site da Fundação Benfica. Uma imagem da área reservada do MyBenfica foi partilhada numa das páginas de Twitter do grupo juntamente com um ‘desejo’: “Sport Lisboa e Benfica pirateado pela segunda vez, desejamos à Polícia Judiciária o ‘começo’ de uma boa investigação policial, jogue os corruptos para fora do campo! @RuiPinto_FL, A liberdade cantou!”.

Como fez anteriormente, também aqui Tomás Pedroso escreveu nas suas redes sociais que o Benfica tinha sido hackeado “by Zambrius aka Cyberteam”, revelando que “pelo PC o painel admin fica todo branco”, mas que “pelo [tele]móvel até que deu para entrar”. “Mais um site invadido. O menino do asperger está on fire“, acrescentou. Foram necessários mais de 30 dias para que “os níveis de segurança” no MyBenfica fossem repostos. Mais tarde, em maio, o alvo voltaria a ser o clube encarnado, com o hacker a disponibilizar as credenciais de 114 colaboradores das ‘águias’.

Mas, antes disso, ainda acedeu à “aplicação empresarial JSN da Meo, que é uma aplicação offline de vendas porta-a-porta a clientes do segmento residencial”. O ataque, que ocorreu entre 15 e 16 de abril de 2020, foi reivindicado, uma vez mais, através do Twitter da Cyberteam. Fonte oficial da Altice garantiu, de acordo com o Diário de Notícias, que as consequências do ataque informático foram “praticamente nulas”. Os hackers não concordam e, por isso, deixaram um recado a Alexandre Fonseca, à época presidente executivo da Altice Portugal e agora co-CEO do grupo Altice.

Altice Portugal, especificamente para o Sr. Alexandre Filipe Fonseca, ‘as consequências foram nulas?’ Por favor! Vamos admitir que a sua empresa não aguenta com a Cyberteam, sabemos que é embaraçoso ter jovens de 14 a 19 anos a invadir a maior empresa de telecomunicações de Portugal, mais de 1, 2 e 3 vezes, já não acha que basta?”, lê-se na mensagem partilhada pelo grupo de piratas informáticos.

O tweet, que já não está disponível e é citado pelo tribunal, continua com frases direcionadas para o agora co-CEO do grupo Altice: “Como é saber que existe uma falha nas torres de transmissão de mensagens e chamadas telefónicas que permite ver todas as mensagens enviadas e ouvir as conversas e mesmo assim não querem resolver… (!!!) Portugal merece saber toda a verdade, mas por favor acordem!!! Altice Portugal, um pequeno documento como ‘castigo’ pelas suas fraudes, manipulações, farsas e não esquecendo pelo mais grave, ladrões”. A publicação termina com um link, que também já não está acessível, para “dados”.

A Cyberteam terá tido acesso, entre outras coisas, a dados pessoais, que incluem o nome, a morada, o NIF, o email, o telefone ou o NIF, de mais de 155 mil clientes da empresa. Para “mitigação” do ataque, os “serviços da Meo desligaram o acesso exterior à aplicação JSN, o que impossibilitou o registo das vendas porta-a-porta durante uma semana e, com isso, o registo de alterações a contratos já existentes e de novos”.

Como aconteceu com o Benfica, Zambrius não visou a Meo somente uma vez. Meros dias após a primeira intromissão, conseguiu “aceder à plataforma SNS24 — Portal de Prestadores, gerida pela Meo”. A empresa desligou, durante um mês, o “acesso à aplicação que se encontra disponível no site SNS24” para que fosse possível corrigi-la.

CyberTeam. Quem são os piratas que hackearam a EDP e a Altice e ameaçam um mega ataque dia 25 de abril

Zambrius é, novamente, apanhado. Em prisão domiciliária continua a ‘atacar’

É no mês em que leva a cabo um ataque à Meo e que a Cyberteam reivindica outros dois — à EDP e a sites ligados à Universidade Nova de Lisboa — que Zambrius volta a ser detido. Após ser ouvido em primeiro interrogatório judicial por um juiz de instrução criminal, fica em prisão preventiva, medida para a qual terá contribuído o facto de ser reincidente. De acordo com o acórdão do Tribunal Judicial da Comarca de Lisboa, Tomás Pedroso permaneceu no Estabelecimento Prisional do Linhó de 30 de abril a 18 de maio de 2020.

Uma fonte com conhecimento do processo explicou ao Observador que na fase de inquérito, Tomás Pedroso, “a dada altura”, foi ouvido pelo juiz Carlos Alexandre e foi colocado em prisão domiciliária, ficando determinada a proibição de acesso à internet. Porém, o jovem continuou a atacar, utilizando o wi-fi da avó materna, bem como de vizinhos ou de “terceiros dos quais obteve as credenciais de acesso a essa rede, fazendo-o sem solicitar qualquer autorização para o efeito”.

É nos meses que está em prisão domiciliária que acede aos servidores do Jornal da Madeira (em julho), da Assembleia Legislativa Regional Autónoma dos Açores (em agosto), do Instituto de Marketing Research (em agosto) e do Estado-Maior General das Forças Armadas (de julho a setembro e depois em outubro de 2020).

Para explorar as falhas de segurança dos sistemas, Tomás Pedroso recorre a várias técnicas. A SQL-Injection é utilizada para explorar as vulnerabilidades que lhe permitem encontrar uma abertura para entrar num determinado site e “interferir com os dados transmitidos entre as aplicações e a base dados”, conseguindo assim “alterar ou apagar dados que, geralmente, não consegue extrair”.

A Cyberteam também recorre a ataques conhecidos como denial of service (DDoS) ou “negação de serviço” através do qual uma determinada infraestrutura fica indisponível devido a uma “sobrecarga da largura de banda do servidor ou pelo esgotamento dos recursos do sistema da máquina, impedindo-a de responde ao tráfego ilegítimo”. De acordo com o Tribunal Judicial da Comarca de Lisboa, a técnica defacement of web sites é ainda utilizada com o “o objetivo de modificar ou danificar o conteúdo ou estética da página de um site” para “degradar ou desmoralizar as informações transmitidas”.

Questionado pelo Observador acerca da possível motivação deste grupo de piratas informáticos para os ataques, o advogado Diogo Pereira Coelho acredita tratar-se de uma “questão de segurança ou melhor… da falta dela”. “Existem hackers que pretendem simplesmente demonstrar que os sistemas de segurança de determinadas organizações não são seguros o suficiente”, acrescenta, admitindo que é “difícil perceber a motivação concreta” e se se trata de uma “espécie de desafio ou simplesmente diversão” ou de “distração para desviar as atenções do verdadeiro objetivo (que pode estar relacionado com a obtenção de uma específica e concreta informação ou mesmo com a ocultação do verdadeiro criminoso)”.

Além disso, as motivações por detrás das ações de um hacker podem mudar com o tempo, conforme as circunstâncias, o contexto ou mesmo no caso de uma alteração ou evolução de prioridades. ‘Hoje’ um hacker pode estar a cometer um ilícito e ‘amanhã’ pode já estar a colaborar com as autoridades… não seria a primeira vez”, revelou o advogado.

“Sou uma boa pessoa, que se preocupa com todas as outras”

Novembro de 2o20 é o último mês que Zambrius passa em prisão domiciliária. Volta a ser enclausurado pela Polícia Judiciária, numa operação conjunta com a Polícia Federal brasileira, por suspeitas de ter realizado ataques ao Tribunal Superior Eleitoral (TSE) do Brasil, a partir de Portugal, durante a primeira volta das eleições autárquicas do país, em 2020.

As diligências terão sido levadas a cabo de forma rápida para que fosse possível impedir um novo ataque na segunda volta. À época, o Observador apurou que os ataques teriam sido feitos com o apoio de hackers brasileiros, tendo as autoridades desse país detido outros três jovens que se dedicavam à prática continuada de crimes de acesso indevido, dano informático e sabotagem informática. Porém, em conversa com o jornal brasileiro Estadão, o jovem negou estas informações, dizendo que agiu sozinho, munido apenas de um telemóvel, uma vez que não tinha acesso a um computador.

Tomás Pedroso afirmou apenas ter pedido “ajuda a um elemento para” que lhe enviasse uma “imagem do doxbin (site usado para partilha de informações privadas hackeadas) e dos arquivos” para que conseguisse “ter uma noção de como ficaria numa tela de computador”.

Operação Exploit. PJ detém hacker que atacou tribunal eleitoral brasileiro

Luís Roberto Barroso, que na altura era presidente do TSE, disse que as urnas não estavam “vulneráveis a nenhum tipo de ataque durante o processo eleitoral” e que tinha ocorrido um “vazamento” de dados “sem nenhuma relevância”. Ao Estadão, Zambrius afirmou que se tivesse acesso ao computador “o ataque teria um impacto muito maior”.

Antes de ser detido pela Polícia Judiciária, o jovem assumiu ser “viciado em programação de computador e, em conversa com o mesmo jornal brasileiro, disse não ser “um criminoso”.

Sou uma boa pessoa, que se preocupa com todas as outras, principalmente com o bem estar do mundo”, salientou, acrescentando não temer “ir preso”.

Questionado sobre as razões que o levaram a atacar o Tribunal Superior Eleitoral, o jovem disse que o seu “objetivo principal era demonstrar que o TSE continuava vulnerável mesmo depois” de ter sido anunciado um reforço da segurança. Confrontado com a possibilidade de ter alguma ligação a apoiantes de Bolsonaro, à época Presidente do Brasil, Tomás negou: “Eu não tenho envolvimento em atos políticos, tenho apenas em protestos antigoverno, nunca apoiei partidos, governos ou o quer que seja relacionado ao governo.”

O jovem que agora tem 22 anos voltava, em 2020, a deixar claro que praticava “hacking por gosto” e não por dinheiro, revelando não ter recebido “nenhum pedido” para realizar o ataque à estrutura do Brasil de que é suspeito. Na conversa com o Estadão, Tomás Pedroso afirmava ter “Síndrome de Asperger”, o que, segundo o próprio, o “faz ser a pessoa” que é, “um pouco diferente das outras”. “Mas eu não temo a diferença, eu gosto de ser diferente”, acrescentou.

Foi condenado, está em liberdade e tem acesso à internet

No julgamento pelas suspeitas de ter atacado entidades como o Benfica e a Altice, Tomás Pedroso optou pelo silêncio, apesar de, antes, ter prestado declarações em sede de interrogatórios judiciais, nos quais “admitiu a generalidade” dos factos que lhe eram imputados. E argumentou que as ações não tiveram “quaisquer finalidades lucrativas”, apenas o objetivo de denunciar falhas de segurança nos sistemas informáticos, dizendo que deixava sempre o seu contacto para poder ajudar a resolver problemas.

Zambrius admitiu ser fundador da Cyberteam e, quanto aos “ataques” propriamente ditos, “admitiu a maioria das condutas imputadas, inclusive ‘explorações’ a entidades estrangeiras, sobretudo na área das Forças Armadas (Nigéria, Nicarágua, Guatemala, Angola e Peru), sublinhando a circunstância de não ter ficado com quaisquer ficheiros ou bases de dados, limitando-se a aceder aos sistemas informáticos em causa”. De acordo com o acórdão do Tribunal Judicial da Comarca de Lisboa, o jovem negou “a sua intervenção numa das ações relativas ao Sindicato dos Funcionários Judiciais (admitindo a sua presença numa delas), bem como à Universidade do Porto e ao Ministério da Saúde (atribuindo-as a um tal de ‘Angelic’)”.

É em janeiro de 2022 que chega o veredicto da justiça portuguesa: Tomás Pedroso é condenado a seis anos de prisão por 28 crimes de acesso ilegítimo agravado, desvio de dados e dano informático. Foi absolvido de um crime de associação criminosa e de outros crimes de falsidade informática, bem como de um crime de acesso indevido e de 16 crimes de acesso ilegítimo. Uma fonte com conhecimento do processo explicou ao Observador que o “crime de associação criminosa pressupõe o envolvimento de uma associação criminosa e não se provou o envolvimento de mais ninguém, desde logo porque, a haver outros, nunca foram identificados” e o jovem “nunca deu o nome de terceiros”. A mesma fonte refere que esse era o “único crime que permitiria que Tomás continuasse em prisão preventiva” (a aguardar o trânsito em julgado), regime em que ficou “durante toda a fase de inquérito e de julgamento”.

[Como foi absolvido do crime de associação criminosa, Tomás acaba por ser] condenado e libertado no mesmo dia”, revelou a mesma fonte ao Observador. E é em liberdade que aguarda o resultado do recurso que interpôs estando, segundo o Expresso, obrigado a apresentar-se duas vezes por semana numa esquadra e proibido de se ausentar do país.

O recurso interposto pela defesa de Zambrius, a que o Observador teve acesso, está assente em dois pressupostos: “O indeferimento da realização de exame pericial psiquiátrico ao arguido” e a “não aplicação do Regime Penal Especial para Jovens”.

A defesa de Tomás Pedroso considera que “os sinais de que o arguido sofre de patologia mental ou psicológica são muito claros e saltam à vista” e afirma que o jovem hacker tem “Síndrome de Asperger”, como o próprio alegou em conversa com o Estadão em 2020. “É normal e congruente que um jovem que nem sequer o 6.º ano de escolaridade concluiu em condições normais, como assim o faria um qualquer jovem de 11 anos, possa adquirir de forma autodidata o nível de conhecimentos informáticos de tal sofisticação que escapa a muitos licenciados em informática?”, questiona o recurso, onde se lê que a “resposta é claramente negativa” e é pedida uma “perícia psiquiátrica ao arguido a fim de verificar a existência de tal patologia”.

Quanto ao segundo pressuposto, a defesa de Zambrius contesta o facto de o tribunal “considerar não ser de aplicar ao arguido o regime penal especial para jovens”, do qual resultaria uma pena atenuada, ainda que admita como “correta a aplicação ao arguido de uma pena de prisão, em função de já não ser este o seu primeiro contacto com o sistema judicial”. Porém, o advogado de Tomás Pedroso alega, no recurso, que “a desconsideração de uma eventual patologia mental que por outro lado sempre permitia ao Tribunal ponderar de forma positiva a aplicação do regime especial penal para jovens penalizou-o duplamente, impedindo a redução da pena de forma a que pudesse ser ainda suspensa na sua execução com a imposição de condições a favor da saúde mental do arguido e da sua reinserção social, que com a atual pena se coloca em grave perigo”.

O Observador sabe que neste momento o recurso encontra-se a aguardar decisão da Relação de Lisboa. A defesa de Zambrius recorreu da sentença em março e cerca de um mês depois o jovem dava a entender, no Twitter, que “apenas por diversão” tinha hackeado o Ministério da Saúde e o Ministério da Educação. Em dezembro de 2022, alegou ter invadido os sistemas informáticos do Ministério da Economia, da Justiça e do Ministério do Trabalho e Segurança Social.

A Polícia Judiciária não respondeu às questões enviadas pelo Observador, nomeadamente sobre se investiga ou não as alegações de Tomás Pedroso, mas, ao Expresso, as autoridades confirmaram que Unidade de Combate ao Cibercrime tentava apurar se o pirata informático tinha ou não acedido aos servidores dos ministérios: “Estamos a seguir e a ver o que foi feito”.

Em pleno 2022, e, em tempos de crise, quando haveria de haver mais segurança é quando há menos; apenas por diversão.

Ministério da Saúde x Ministério da Educação
[#hacked #infosec #cybersecurity]
*.min-saude.pt
*.dge.mec.pt#Zambrius #CyberTeam #PortugueseCyberArmy pic.twitter.com/coQHTlSlhu

— Zambrius (@zambathegod) April 9, 2022

Contactado pelo Observador para prestar esclarecimentos relativamente ao processo judicial, David Silva Ramalho, o advogado da Morais Leitão que conduziu o julgamento em representação do Benfica, não quis fazer comentários, remetendo para o teor das peças processuais. O mesmo aconteceu com o advogado que representa Tomás Pedroso, que considera que o jovem precisa “de ajuda, não de exposição”, pelo que se recusa a contribuir para “a mesma”. O Observador tentou ainda chegar à fala com o próprio Zambrius, mas sem sucesso.