Spyware Pegasus Israel, Senjata Global Bungkam Kritik
NSO mampu mengakses data milik 50.000 wartawan, politisi, pejabat, serta aktivis
REPUBLIKA.CO.ID, ANKARA -- Pada 2 Maret 2017, jurnalis Meksiko Cecilio Pineda berbicara tentang dugaan kolusi antara polisi negara bagian dan pemimpin kartel narkoba dalam siaran langsung via Facebook.
Dua jam kemudian, dia tewas ditembak setidaknya enam kali oleh dua pria yang mengendarai sepeda motor.
Beberapa pekan berselang, Forbidden Stories – jaringan jurnalis global yang terlibat dalam investigasi – mengonfirmasi bahwa tidak hanya Pineda, tetapi jaksa penuntut yang menyelidiki kasus tersebut, Xavier Olea Pelaez, juga menjadi target perangkat mata-mata Pegasus Israel beberapa bulan sebelum dia dibunuh. Ponsel Pineda yang menghilang dari TKP saat pihak berwenang tiba, juga tidak pernah ditemukan.
Dua minggu setelah kolumnis Washington Post Jamal Khashoggi dibunuh di Konsulat Saudi di Istanbul, Turki, pada Oktober 2018, organisasi hak digital Citizen Lab melaporkan bahwa teman dekat Khashoggi, Omar Abdulaziz, telah menjadi sasaran intaian Pegasus yang dikembangkan oleh perusahaan teknologi Israel NSO Group Technologies. Laporan terbaru dari Forbidden Stories mengungkapkan bahwa spyware Pegasus berhasil dipasang di ponsel tunangan Khashoggi, Hatice Cengiz, hanya empat hari setelah pembunuhannya. Secara keseluruhan, ponsel 180 jurnalis di seluruh dunia menjadi target klien NSO Group Technologies.
Cara kerja spyware Pegasus memungkinkan pengawasan jarak jauh terhadap smartphone. Forbidden Stories, yang melakukan investigasi bersama dengan Lab Keamanan Amnesty International, menemukan bahwa ponsel milik politikus, aktivis masyarakat sipil, dan hakim di banyak negara dipantau oleh Pegasus, yang jelas-jelas melanggar undang-undang privasi.
Jaringan jurnalis itu juga mengungkapkan bahwa NSO mampu mengakses data milik 50.000 wartawan, politisi, pejabat, serta aktivis yang dipilih klien NSO untuk pengawasan.
Analisis forensik
Analisis forensik ponsel mereka – yang dilakukan oleh Lab Keamanan Amnesty International dan peer-review oleh organisasi Kanada Citizen Lab – mampu mendeteksi infeksi atau percobaan infeksi oleh spyware NSO Group dalam 85 persen kasus.
“Angka-angka dengan jelas menunjukkan pelanggaran privasi dalam skala besar, menempatkan kehidupan jurnalis, keluarga, dan rekan mereka dalam bahaya, sekaligus mengancam kebebasan pers,” kata Agnes Callamard, sekretaris jenderal Amnesty International.
NSO Group merespons Forbidden Stories dengan mengatakan bahwa pelaporan itu didasarkan pada "asumsi yang salah" dan "teori-teori yang tak berdasar". Perusahaan itu juga menegaskan kembali bahwa mereka bekerja untuk "misi penyelamatan jiwa".
NSO Group menyatakan bahwa teknologinya digunakan secara eksklusif oleh badan intelijen untuk melacak penjahat dan teroris.
Berdasarkan laporan Transparansi dan Tanggung Jawab NSO Group yang dirilis pada Juni tahun ini, perusahaan itu memiliki 60 klien di 40 negara di seluruh dunia.
"Pegasus bukanlah teknologi pengawasan massal dan hanya mengumpulkan data dari perangkat seluler individu tertentu yang diduga terlibat dalam kejahatan serius dan teror,” tulis NSO Group dalam laporannya.
Di India, ponsel Paranjoy Guha Thakurta, seorang jurnalis investigasi dan penulis buku, diretas pada 2018. Thakurta menyebut dirinya diincar saat sedang menyusun laporan investigasi soal keuangan grup bisnis Ambani.
"Tujuannya untuk memantau siapa saja orang yang saya ajak bicara dan untuk menemukan individu yang memberikan informasi kepada saya dan rekan saya," jelas dia.
Thakurta adalah salah satu dari setidaknya 40 jurnalis India yang dipilih sebagai target klien NSO di India, berdasarkan analisis konsorsium terhadap data yang bocor. Ponsel dua dari tiga pendiri outlet berita online The Wire – Siddharth Varadarajan dan MK Venu – terinfeksi oleh Pegasus. Ponsel Venu diretas baru-baru ini.
Menarget jurnalis ternama
Beberapa jurnalis lain yang bekerja atau berkontribusi untuk outlet berita independen The Wire – termasuk kolumnis Prem Shankar Jha, reporter investigasi Rohini Singh, editor diplomatik Devirupa Mitra, dan kontributor Swati Chaturvedi – semuanya menjadi target pengawasan.
“Mengkhawatirkan melihat begitu banyak nama orang yang berhubungan dengan The Wire, tetapi ada banyak juga orang yang tidak terkait dengan Wire,” ungkap Varadarajan, yang ponselnya diretas pada 2018.
Sementara itu, Menteri Teknologi Informasi India Ashwini Vaishnaw menekankan pengawasan ilegal tidak mungkin dilakukan.
“Sebuah cerita yang sangat sensasional diterbitkan oleh portal web tadi malam. Banyak tuduhan berlebihan yang dibuat laporan yang terbit sehari sebelum sidang parlemen. Ini tidak mungkin kebetulan,” ujar dia.
Vaishnaw menyebut ini sebagai upaya untuk memfitnah demokrasi India.
Committee to Protect Journalists (CPJ) sebelumnya telah mendokumentasikan 38 kasus spyware yang digunakan untuk menarget jurnalis di sembilan negara sejak 2011.
Bagaimana cara kerja Pegasus?
Eva Galperin, direktur keamanan siber di Electronic Frontier Foundation (EFF), adalah salah satu peneliti pertama yang mengidentifikasi dan mendokumentasikan serangan siber terhadap jurnalis dan pembela hak asasi manusia di Meksiko, Vietnam, dan negara lainnya pada awal 2010-an.
“Pada 2011, Anda akan menerima email, dan email akan masuk ke komputer Anda, dan malware akan dirancang untuk menginstall sendiri di komputer Anda,” kata dia.
Pemasangan spyware Pegasus di smartphone kini semakin mudah karena target tak perlu mengklik tautan untuk menginstall spyware. Klien bahkan dapat mengendalikan ponsel milik target tanpa kontak apa pun dengan target.
Setelah berhasil diinstall, spyware Pegasus memberi klien NSO akses perangkat lengkap ke aplikasi pesan terenkripsi seperti Signal, WhatsApp, dan Telegram. Pegasus akan tetap aktif hingga perangkat dimatikan. Namun ketika ponsel dihidupkan kembali, ponsel dapat kembali terinfeksi.
Menurut Galperin, operator Pegasus dapat merekam audio dan video dari jarak jauh, mengambil data dari aplikasi pesan, menggunakan GPS untuk pelacakan lokasi, dan mengganti kata sandi dan kunci otentikasi.
Selama bertahun-tahun, pemerintah di seluruh dunia telah bergerak untuk mengumpulkan intelijen menggunakan teknologi, bukan manusia. Di masa lalu, mereka mengembangkan alat spyware in-house hingga perusahaan spyware swasta seperti NSO Group, FinFisher, dan Tim Hacking turun tangan untuk menjual produk mereka ke pemerintah.
Pada Juni 2021, perusahaan spyware Prancis Amesys didakwa karena menjual spyware ke Libya selama 2007-2011. Menurut penggugat, dalam kasus itu, informasi yang diperoleh melalui pengawasan digital digunakan untuk mengidentifikasi dan memburu oposisi diktator Muammar Khaddafi.
Laporan hasil investigasi kolaboratif internasional ini telah mempertanyakan perlindungan yang diterapkan untuk mencegah penyalahgunaan senjata siber seperti Pegasus dan komitmen NSO Group untuk menciptakan “dunia yang lebih baik dan lebih aman”.