A Polícia Federal deflagrou, nesta quarta-feira (3/12), a Operação Power OFF para atingir um grupo suspeito de oferecer e intermediar ataques hackers contra órgãos públicos brasileiros. A investigação aponta uma estrutura voltada à venda de serviços ilegais de ataque cibernético, com foco em sistemas de alta relevância institucional, como páginas e infraestruturas da própria PF, do Serpro, da Dataprev e de unidades ligadas ao Exército Brasileiro.
Como foi a operação realizada pela PF?
Segundo as informações divulgadas, a ofensiva ocorre de forma coordenada em diferentes estados, com apoio de unidades de combate a crimes cibernéticos. Os agentes cumprem mandados de prisão temporária e de busca e apreensão em São Paulo, São Caetano do Sul, Rio de Janeiro e Tubarão (SC), visando interromper a atuação do grupo e coletar provas digitais.
O objetivo é identificar toda a cadeia de participantes, incluindo usuários que contrataram ataques e possíveis financiadores. A PF também busca mapear a infraestrutura técnica utilizada, como servidores, intermediários de pagamento e canais de comunicação, para evitar a reativação do serviço por outros grupos.
Quais os alvos da Operação Power OFF?
A Operação Power OFF mira tanto os administradores das plataformas ilegais quanto os contratantes dos ataques. Conforme a PF, esse mercado clandestino funcionava como um serviço sob demanda, no qual qualquer interessado podia pagar para derrubar ou prejudicar o funcionamento de um site ou sistema público ou privado.
Os ataques teriam sido realizados por meio de técnicas conhecidas na área de segurança da informação, mas apresentadas de forma simplificada para atrair usuários sem conhecimento técnico. Entre as ações já associadas a essas plataformas estão ofensivas contra a própria Polícia Federal em 2020, que teriam provocado instabilidade em serviços de acesso público e exigido resposta coordenada de equipes de TI.
Como funcionam ataques DDoS, booters e stressers?
Os ataques usados pelos suspeitos são do tipo DDoS (Distributed Denial of Service), em que um grande volume de acessos simultâneos é direcionado a um site ou sistema. Essa sobrecarga faz com que servidores deixem de responder adequadamente, mantendo o serviço fora do ar ou extremamente lento, o que prejudica cidadãos e rotinas internas de órgãos públicos.
Para facilitar a contratação desses ataques, o grupo investigado teria utilizado plataformas conhecidas como booters e stressers, que funcionam como locação de poder de fogo digital. As ferramentas eram hospedadas em serviços de nuvem e oferecidas globalmente, permitindo que qualquer pessoa, mesmo sem formação em tecnologia, ativasse ofensivas cibernéticas contra governos, empresas ou outros alvos escolhidos.
Quais crimes podem ser aplicados aos suspeitos?
Os envolvidos na operação podem responder por associação criminosa e por interrupção ou perturbação de serviço telemático, ou de informação de utilidade pública, tipos penais previstos na legislação brasileira. Em alguns casos, podem ainda ser enquadrados em delitos relacionados a invasão de dispositivo informático e lavagem de dinheiro, dependendo das provas colhidas.
A investigação reforça uma linha de atuação conjunta entre polícias, agências de aplicação da lei, órgãos de inteligência e instituições acadêmicas. Essa cooperação estimula o desenvolvimento de tecnologias de monitoramento, análise de tráfego e rastreamento de infraestruturas de ataque, além de estudos sobre o comportamento de grupos envolvidos em crimes cibernéticos organizados.
Como a Operação Power OFF impacta a segurança digital?
A ofensiva da PF contra suspeitos de hackear sites do governo sinaliza um esforço para desarticular não apenas indivíduos isolados, mas todo um ecossistema de ataques DDoS vendidos como serviço. Ao atingir plataformas de booters e stressers, a Operação Power OFF tenta reduzir a oferta de ferramentas que facilitam o cibercrime e aumentar o risco para quem contrata esse tipo de serviço.
Para o setor público, o episódio evidencia a necessidade permanente de atualização tecnológica e de capacitação das equipes responsáveis pela defesa cibernética. Isso inclui investimentos em monitoramento contínuo, redundância de sistemas, integração com centros de resposta a incidentes (CERTs) e revisão de planos de contingência para manter serviços críticos disponíveis.
FAQ sobre Operação Power OFF da PF
A seguir, estão respostas breves para algumas dúvidas comuns sobre a legalidade de plataformas de DDoS, rastreabilidade dos contratantes, proteção de serviços públicos e diferença entre testes legítimos e ataques. Essas informações ajudam a compreender melhor o contexto jurídico e técnico do caso.
- Plataformas de DDoS como serviço são sempre ilegais? Em geral, o uso para derrubar ou prejudicar serviços de terceiros sem autorização configura crime. Alguns serviços dizem ter finalidade de teste de segurança, mas o uso contra sistemas alheios sem consentimento é ilícito.
- É possível rastrear quem contrata um ataque DDoS? Sim. Logs de acesso, registros de pagamento, dados de hospedagem e cooperação entre provedores e autoridades permitem identificar tanto administradores quanto contratantes, ainda que isso exija investigação técnica detalhada.
- Serviços públicos conseguem ficar imunes a ataques DDoS? Não há imunidade absoluta, mas é possível reduzir bastante o impacto com infraestrutura robusta, filtros de tráfego, soluções especializadas de mitigação e planos de contingência.
- O que diferencia um teste de estresse legítimo de um ataque? O ponto central é a autorização. Testes legítimos são feitos com consentimento do dono do sistema, dentro de contratos e regras definidas. Sem essa permissão, a ação passa a ser tratada como ataque.
