Jejak Pegasus di Indonesia

KEBERADAAN Pegasus kembali menghebohkan dunia pada Februari lalu. Kolaborasi jurnalis investigasi global, Organized Crime and Corruption Reporting Project, serta Forbidden Stories mengungkap penyimpangan penggunaan spyware untuk memata-matai aktivis, jurnalis, dan politikus di berbagai belahan dunia. Nama Pegasus, perangkat lunak produksi perusahaan intelijen asal Israel, NSO Group Technologies, turut mencuat dalam laporan tersebut.

Kolaborasi itu mengungkap setidaknya ada 50 ribu nomor telepon yang sudah menjadi target penyadapan Pegasus. Temuan ini didasari hasil uji forensik CitizenLab, komunitas platform daring yang berbasis di Toronto, Kanada, dan Amnesty International. Mereka mendeteksi ada 37 telepon seluler milik aktivis hak asasi manusia, pengusaha, dan jurnalis yang disusupi Pegasus.

Beberapa pemilik telepon seluler itu berdomisili di Meksiko, Hungaria, Uni Emirat Arab, dan negara lain. Belakangan, CitizenLab menemukan spyware Pegasus di Thailand. Jumlah korbannya mencapai 30 orang. CitizenLab telah melaporkan temuan itu kepada Apple, produsen iPhone, pada Oktober 2022 dan Januari 2023.

Peneliti CitizenLab asal Indonesia, Irene Poetranto, menduga Pegasus sudah dipergunakan secara luas di Asia Tenggara. “Dengan metode Internet scanning, kami juga menemukan jejak Pegasus ada di Indonesia,” ucapnya. Ia tak menyebutkan periode pelaksanaan pemindaian Internet tersebut.

Irene menegaskan sudah beberapa kali menemukan aktivitas Pegasus di Indonesia. Tapi belum ada korban yang bersedia perangkatnya dianalisis tim forensik. Sebelum menjalankan protokol forensik digital, seseorang yang diduga menjadi korban Pegasus mesti menandatangani surat persetujuan. Pelaksanaannya pun dilakukan secara hati-hati. “Tidak semua orang yang ketahuan menjadi korban Pegasus mau dipublikasikan identitasnya,” tuturnya.

Pengadaan "Zero Click Intrusion System" untuk Polri/lpse.lkpp.go.id

Mulanya, serangan Pegasus terdeteksi lewat notifikasi pengguna iPhone dan aplikasi WhatsApp. Setelah dianalisis, pada telepon seluler ditemukan malware. CitizenLab menemukan perangkat lunak penyusup itu bernama PWNYOURHOME dan FINDMYPWN di iPhone iOS 15 dan iOS 16 milik korban.

Baca: Pegasus di Kantor Intel
 
Pada 30 September 2022, Reuters melaporkan ada 12 pejabat senior Indonesia yang menjadi korban Pegasus. Di antaranya Menteri Koordinator Perekonomian Airlangga Hartarto. Juru bicara Kementerian Koordinator Perekonomian, Alia Karenina, mengatakan Airlangga tak mengetahui telepon seluler yang mana yang ditembus Pegasus. “Telepon seluler Bapak ada beberapa untuk berbagai keperluan,” ujar Alia.

Konsorsium IndonesiaLeaks menemukan indikasi keberadaan produk spionase NSO Group lewat manifes ekspedisi PT Mandala Wangi Kreasindo. Saham perusahaan ini dimiliki keluarga istri seorang menteri di Kabinet Indonesia Maju yang masih aktif. PT Mandala tercatat mendatangkan dua perangkat digital, Cisco Router dan Dell Server, yang masing-masing seharga US$ 6.000 dan US$ 10 ribu. Kedua barang itu diimpor dari Inggris melalui Bandar Udara Soekarno-Hatta, Tangerang, Banten.

Pengirim kedua barang tersebut adalah Q Cyber Technologies, perusahaan utama NSO Group. Seorang makelar spyware produksi anak-anak perusahaan NSO Group menduga kedua perangkat tersebut berkaitan erat dengan pelengkap software intelijen. Nilai produk kedua perangkat itu pun diduga sudah dikecilkan untuk mengurangi pungutan pajak.

Seorang pejabat di Direktorat Jenderal Bea dan Cukai Kementerian Keuangan membenarkan adanya manifes PT Mandala Wangi Kreasindo tersebut. Petugas Bea-Cukai di bandara bahkan sudah melihat kedua paket tersebut. Mereka mengklaim tak ada kejanggalan dalam proses importasinya.

Untuk mengkonfirmasi pembelian dua perangkat itu, tim IndonesiaLeaks mendatangi kantor PT Mandala Wangi Kreasindo di kawasan Pasar Baru, Jakarta Pusat. Tapi tak ditemukan kantor yang dimaksud. Dihubungi lewat sambungan telepon, Direktur PT Mandala Wangi Kreasindo Haryanto tak merespons permintaan wawancara hingga Sabtu, 10 Juni lalu.

Jejak alat sadap produksi NSO Group juga terdeteksi dalam situs Layanan Pengadaan Secara Elektronik (LPSE). Selama 2017-2021, LPSE menggelar sebelas kontrak pengadaan teknologi alat sadap. Semuanya untuk kepentingan Kepolisian RI. Proyek itu selalu dimenangi oleh PT Radika Karya Utama. Nilainya mencapai ratusan miliar rupiah.

Dua di antaranya proyek pengadaan software intelijen dengan metode zero-click. Proyek pertama berlangsung pada tahun anggaran 2017. PT Radika menjadi pemenang proyek pengadaan zero-click intrusion system di Kepolisian Daerah Metropolitan Jakarta Raya. Nilai produknya mencapai Rp 98,9 miliar. Setahun kemudian, PT Radika memenangi tender zero-click intrusion system khusus untuk iOS di Polri. Harganya Rp 149,8 miliar.

Zero-click merupakan istilah untuk metode penyusupan malware ke perangkat target. Disebut nol klik karena malware ini bisa masuk ke perangkat tanpa diketahui target. Pengguna tak harus melakukan aktivitas apa pun di perangkatnya agar malware itu masuk. Misalnya, membuka pesan yang sudah berisi malware, menerima panggilan telepon, atau mengklik tautan tertentu.

Sejumlah pakar teknologi perangkat lunak intelijen mengatakan hanya Pegasus yang memiliki kecanggihan seperti itu. Keunggulan ini yang membuatnya ditakuti banyak pihak. Di sisi lain, kemampuan ini membuat Pegasus laris manis digunakan banyak lembaga di negara lain.

Itu sebabnya harganya sangat mahal. Meski nilainya berbeda-beda karena disesuaikan dengan kebutuhan pengguna, harga perangkat lunak Pegasus bisa mencapai ratusan miliar rupiah. Para pakar tersebut enggan diungkap identitasnya dengan alasan keamanan.

Tim IndonesiaLeaks menyambangi kantor PT Radika Karya Utama di salah satu gedung di Jalan Casablanca, Jakarta Selatan. Di ruangan lobi, tak terlihat papan nama PT Radika. Rupanya, mereka menempati ruangan yang sama dengan PT Royal Group. Seorang resepsionis membenarkan di sanalah alamat kantor PT Radika.

Direktur Utama PT Radika Karya Utama, Andi Utama, tak kunjung merespons surat permohonan wawancara. Yeni yang mengaku sebagai sekretaris Andi mengatakan atasannya sedang berada di luar kota. 

Ia membenarkan kabar bahwa PT Radika berulang kali menjadi mitra polisi untuk pengadaan alat teknologi. Tapi ia tak menjelaskan secara detail proyek peralatan intelijen tersebut. Ia juga tak mau pernyataannya dikutip. Surat permohonan wawancara kedua yang dikirimkan pada Jumat, 19 Mei lalu, juga tak kunjung berbalas.

Kepala Divisi Teknologi, Informasi, dan Komunikasi Polri Inspektur Jenderal Slamet Uliandi membantah warta bahwa lembaganya pernah membeli dan menggunakan Pegasus. Ia justru berpendapat Pegasus merupakan software yang kerap digunakan para hacker.

Jebolan Akademi Kepolisian 1994 itu mengakui lembaganya pernah menggunakan alat sadap bermetode zero-click. Tapi, sepemahaman dia, teknologi alat sadap yang menggunakan zero-click bukan hanya Pegasus. “Polri menggunakan alat sadap zero-click sejak 2010,” katanya.

Ia mengakui penggunaan alat sadap memberikan banyak manfaat. Namun tak semua hasil penyadapan bisa digunakan sebagai barang bukti di pengadilan. Polisi hanya menggunakan alat sadap untuk lawful interception. “Undang-undang menyebutkan enggak boleh memakai malware,” tuturnya.

•••

Spionase tanpa Jejak

BERBEDA dengan metode sadap zaman lawas yang lebih banyak menggunakan banyak peralatan, Pegasus hanya berbentuk perangkat lunak. Server atau peladennya ditengarai berada di Israel, negara asalnya. Karena berbentuk software, sistemnya harus diperbarui setiap tahun. Jika pembeli Pegasus ingin melanjutkan operasinya pada tahun kedua, mereka harus membayar miliaran rupiah lagi.

Dalam mitologi Yunani, Pegasus digambarkan sebagai kuda putih yang memiliki sayap dan bisa terbang. Penggunaan Pegasus terdeteksi pertama kali pada 2016. Namanya makin dikenal luas setelah dikaitkan dengan kematian Jamal Khashoggi, wartawan berpaspor Arab Saudi, pada 2018.

Khashoggi dibunuh selepas menyambangi Kedutaan Besar Arab Saudi di Turki. Jenazahnya belum ditemukan hingga kini. Komplotan pembunuh ditengarai memata-matai Khashoggi dengan menggunakan Pegasus. Fakta ini diperkuat setelah CitizenLab menemukan malware Pegasus di telepon seluler milik tunangan Khashoggi.

Pegasus menjadi momok yang menakutkan karena kemampuannya yang dianggap revolusioner di dunia intelijen. Selain mampu menyedot semua data target, Pegasus bisa memata-matai seseorang tanpa mengutus seorang spion ke lapangan. Pegasus juga mampu beroperasi secara bersamaan untuk banyak target sekaligus.

Penggunaan alat sadap yang tanpa kontrol ini dianggap mengkhawatirkan. Southeast Asia Freedom of Expression Network (SAFENet) mensinyalir alat sadap kerap disalahgunakan untuk meredam kelompok aktivis masyarakat sipil, jurnalis, dan kelompok oposisi politik. Ia menduga alat sadap di Indonesia digunakan setiap ada perlawanan terhadap kebijakan pemerintah.

Misalnya saat ribut-ribut revisi Undang-Undang Komisi Pemberantasan Korupsi pada 2019. Teror yang dialami para aktivis bukan cuma pembajakan telepon seluler dan akun media sosial. Saat itu, SAFENet mencurigai ada pihak yang menggunakan alat sadap untuk mengetahui aktivitas korban. Indikasinya, pelaku bisa mengetahui jejaring pertemanan korban.

Ada pula pesan yang beredar seolah-olah berasal dari pemilik akun media sosial korban. Padahal telepon seluler dan media sosialnya masih dikuasai pemiliknya. “Kami mencurigai praktik semacam ini muncul karena ada operasi digital intelijen,” ujar Direktur Eksekutif SAFENet Damar Juniarto.

Ditemui terpisah, empat praktisi teknologi informasi intelijen memastikan Pegasus beroperasi di Indonesia sejak 2018. Salah seorang di antaranya bahkan pernah diminta bantuan untuk mengoperasikan perangkat tersebut. Selain Polri, mereka yakin Badan Intelijen Negara (BIN) juga pernah menggunakan Pegasus.

IndonesiaLeaks menyurati BIN untuk menanggapi dugaan tersebut. Namun, hingga Sabtu, 10 Juni lalu, surat permohonan wawancara tersebut tak kunjung direspons.

Sebuah lembaga penegak hukum juga dikabarkan pernah tertarik menggunakan spyware Pegasus. Mereka bahkan mengutus tim langsung ke Israel. Namun permintaan itu tak mendapat respons dari NSO Group.

Seorang makelar spyware produk anak perusahaan NSO Group di Indonesia mengatakan NSO membanderol harga Pegasus sesuai dengan kebutuhan klien. Untuk layanan tanpa batas jumlah target dan hasil, mereka bisa mematok nilai nominal hingga triliunan rupiah.

NSO juga tak sembarangan meladeni pembeli, khususnya dari Indonesia. Mereka bersikap hati-hati karena Indonesia dan Israel tak memiliki hubungan dan kerja sama diplomatik. Transaksi jual-beli alat sadap mirip dengan bisnis senjata antarnegara. Akan ada sanksi internasional bila diketahui ada transaksi peralatan pertahanan dan keamanan dengan negara yang tak memiliki hubungan diplomatik. Itu sebabnya transaksi dengan NSO Group dan anak perusahaannya mesti melewati pihak ketiga.

Selain memiliki Pegasus, NSO mengembangkan berbagai spyware canggih lain. NSO tengah gencar menjual produk perangkat lunak penyadapan dengan metode one-click. Disebut one-click karena penyadapan baru bisa dilakukan jika pengguna sudah mengklik tautan yang disusupi malware, membuka pesan, menerima telepon, atau lainnya.

Pengadaan "Zero Click Intrusion System" untuk Polri. Sumber: lpse.lkpp.go.id

Mereka mulai memasarkan perangkat sadap one-click setelah Pegasus mendapat sorotan tajam dari kalangan internasional. Sejumlah negara mengecam metode sadap one-click karena dianggap berbahaya.

Perangkat one-click ini juga sudah beredar di Tanah Air. Sang makelar bahkan sempat mendemonstrasikan penggunaan perangkat tersebut. Harganya mencapai Rp 20 miliar untuk menyasar sepuluh target yang akan disadap.

Dihubungi lewat alamat surat elektronik yang tercatat di situsnya, NSO Group juga tak merespons permintaan wawancara tim IndonesiaLeaks. Mantan Chief Executive NSO Group, Shalev Hulio, pernah mengklaim Pegasus berguna mengungkap kejahatan seperti terorisme. “Tapi kami menyadari NSO tak mampu mendeteksi penggunaan Pegasus ketika sudah berada di tangan klien,” katanya.

Salah seorang pendiri NSO Group, Omri Lavie, mengatakan perusahaannya memang bertujuan menciptakan spyware yang sama sekali tak akan terlacak dan tidak akan meninggalkan jejak sedikit pun. “Produk kami benar-benar seperti hantu,” tuturnya.