Kuda Terbang Mata-mata dari Israel

PESAN pendek berisi kode pemesanan pizza masuk ke telepon seluler Rimawan Pradiptyo pada Kamis sore, 5 September lalu. Merasa tak memesan, pengajar di Fakultas Ekonomika dan Bisnis Universitas Gadjah Mada, Yogyakarta, itu mengabaikannya.

Semenit berselang, pesan yang sama masuk lagi dengan kode berbeda. Pesan yang mirip aktivasi Internet banking itu juga masuk ke nomor WhatsApp Rimawan. Pesan instan berikutnya menyebutkan Rimawan tidak terdaftar di WhatsApp dan harus melakukan registrasi.

Rimawan menyadari ada yang aneh dengan ponsel iPhone 8 miliknya itu, tapi ia tidak curiga sampai koleganya di grup Whats-App “Gerakan Anti-Korupsi Lintas Perguruan Tinggi” menanyakan mengapa ia mengirimkan pesan berbalik 180 derajat dari tujuan awalnya mengumpulkan dukungan untuk Komisi Pemberantasan Korupsi. “Pesan itu menyertakan tautan Internet yang isinya mendukung revisi Undang-Undang KPK,” kata Rimawan di kampusnya, Kamis, 31 Oktober lalu.

Tidak berhenti di situ, akun WhatsApp Rimawan dengan nomor telepon 081227263555 itu mengirimkan undangan kepada para anggota grup Gerakan Anti-Korupsi untuk menjadi anggota grup baru. Sebelumnya, Rimawan berkoordinasi untuk membuat grup baru karena menduga nomor ponselnya telah diretas orang. Rupanya, akun WhatsApp Rimawan tanpa ia ketahui sudah membuat grup baru tersebut.

Panggilan telepon dari nomor-nomor luar negeri juga meneror Rimawan dan sejumlah dosen lain yang tergabung dalam grup WhatsApp. Ahli hukum tata negara dari UGM, Zainal Arifin Mochtar, misalnya, mendapat teror telepon ketika dalam perjalanan menuju gedung KPK di Jakarta Selatan, Rabu, 11 September lalu. Panggilan itu dari nomor telepon berkode Chicago, Phoenix, Oakland, Saint Louis, dan Virginia, Amerika Serikat; serta Inggris. Zainal sempat menjawab satu panggilan telepon dari Chicago karena mengira dari koleganya, tapi ia hanya mendengar dengungan.

Zainal mendapat penjelasan dari seorang penegak hukum bahwa penyadapan ponsel dapat dilakukan melalui perangkat bernama Pegasus, yang diimpor dari Israel. Kejadian ini mengingatkan pada kasus penyadapan terhadap pembela hak asasi manusia dari Uni Emirat Arab, Ahmed Man-soor, tiga tahun lalu. Kasus itu menguak kerja intelijen Uni Emirat Arab yang memakai Pegasus untuk memata-matai aktivis.

Berbeda dengan Rimawan dan Zainal yang langsung merespons panggilan telepon misterius, Mansoor—peraih Martin Ennals Award 2015—malah curiga terhadap pesan pendek yang pengirimnya tak ia kenal. Pesan yang dikirim pada 10 dan 11 Agustus 2016 itu berisi tautan Internet yang bertajuk “rahasia baru penyiksaan tahanan di penjara UEA”. Mansoor langsung mengirimkan tautan itu ke kawannya, Bill Marczak, di Citizen Lab—laboratorium interdisiplin di Munk School of Global Affairs & Public Policy, University of Toronto, -Kanada.

Ketika Marczak membukanya, link itu langsung melepaskan spyware atau trojan—program komputer jahat—yang dirancang untuk memata-matai ponsel target. Karena spyware itu terlalu kompleks, ia lalu mengirimkannya ke koleganya, Andrew Blaich dan Max Bazaliy, di Lookout Inc—perusahaan keamanan komputer di San Francisco, California, Amerika Serikat. Betapa kaget keduanya karena belum pernah menemukan spyware setangguh itu, yang dapat menyadap file, percakapan suara, pesan teks, e-mail, dan segalanya.

Berdasarkan analisis Citizen Lab dan Lookout, tautan bernama domain webadv.co itu dimiliki jaringan yang mereka yakini bagian dari infrastruktur eksploitasi yang disediakan perusahaan spyware berbasis di Israel, NSO Group. Produk andalan NSO adalah Pegasus. Spyware ini juga dikaitkan dengan kasus pembunuhan jurnalis asal Arab Saudi dan kolumnis The Washington Post, Jamal Khashoggi.

Menurut ketua dan pendiri Indonesia Cyber Security Forum, Ardi Sutedja K., NSO beroperasi sejak 2010. “Di belakangnya sebenarnya ada perusahaan Amerika Serikat, Francisco Partners Management, yang labnya berada di Israel. Banyak tokoh politik Amerika, seperti bekas senator Tom Ridge, menjadi pemegang sahamnya,” ucap Ardi. Ia mengatakan NSO termasuk pemimpin pasar untuk teknologi surveillance. Situs NSO, nsogroup.com, mencantumkan Tom Ridge, yang menjabat Menteri Keamanan Dalam Negeri Amerika periode 2003-2005, sebagai penasihat senior di NSO Group.

Ardi menambahkan, kiprah Pegasus dimulai ketika berhasil membuka enkripsi sistem operasi ponsel yang dikembangkan dan didistribusikan Apple Inc, iOS. “Waktu itu FBI mencoba membuka handphone pelaku kriminal yang terkunci. Rupanya, FBI sudah punya kerja sama dengan NSO,” ujarnya.

Ardi mengatakan NSO juga mengembangkan Pegasus versi Android, yang dinamakan Chrysaor. Dalam mitologi Yunani, Chrysaor adalah saudara Pegasus—kuda putih bersayap, putra Dewa Poseidon dan Medusa.

Pakar keamanan siber Pratama Persadha mengatakan Pegasus memang spy-ware yang sangat berbahaya. Untuk mengendalikan ponsel target dari jarak jauh, Pegasus membutuhkan nomor ponsel saja. “Kalau trojan yang lain membutuhkan pengecekan sistem operasi, merek ponsel dan produsennya, serta tipe ponsel dan perlu menginstalkan aplikasi, Pegasus menghilangkan semua keribetan itu,” kata Pratama, yang juga Ketua Lembaga Riset Keamanan Cyber dan Komunikasi (CISSReC).

Pratama mengatakan ponsel yang disusupi Pegasus tak akan diketahui pemiliknya. “Saya belum mendengar klaim yang bisa bertahan dari Pegasus,” ujarnya.

Menurut dia, Pegasus memanfaatkan tiga kelemahan iOS, yang dikenal dengan zero-day exploit, yang memastikannya bisa masuk ke ponsel tanpa dapat dimatikan oleh antivirus dan antimalware. Tapi, kata Pratama, Pegasus bisa dicurigai dari indikasi, misalnya, ponsel tak digunakan tapi panas atau pemakaian paket data yang -boros.

Kalau ada indikasi tersebut, Pratama menyarankan untuk memeriksa semua aplikasi dengan forensic digital dan network monitor yang melacak ponsel itu terkoneksi ke mana. “Cara paling gampang adalah mengembalikan ke pengaturan pabrik,” ujarnya.

Menginstal ulang WhatsApp tak menjamin Pegasus tidak akan menyadap lagi. “Kalau tidak mendapat kiriman data, dia curiga sehingga akan menginjeksikan ulang spyware-nya,” kata Pratama, yang pernah menjabat pelaksana tugas Direktur Pengamanan Sinyal Lembaga Sandi Negara pada 2014.

Karena kemampuannya itu, wajar saja harga Pegasus mahal. Menurut Ardi, harga satu lisensi Pegasus untuk 300 peralatan yang disadap bisa mencapai US$ 8 juta (sekitar Rp 112 miliar). “Siapa yang berani mengeluarkan uang sebesar itu? Yang pasti institusi penegak hukum dan institusi -intelijen negara, tapi apakah mereka mau mengeluarkan uang sebanyak itu?” ujar Ardi.

Pratama percaya pada hasil investigasi Citizen Lab yang menyebutkan Indonesia satu dari 45 negara yang mempunyai Pegasus. “Saya yakin ada yang memiliki Pegasus, tapi institusi mana dan apakah sudah digunakan, saya tidak tahu.” Menurut Pratama, Badan Pemeriksa Keuangan yang paling tahu soal pembelian Pegasus itu karena mereka yang mengaudit anggaran lembaga pemerintah.

Pratama meyakini teror yang dialami Rimawan Pradiptyo, Zainal Arifin Mochtar, dan pegiat antikorupsi baru-baru ini bukan dengan Pegasus. Menurut dia, banyak cara mengkloning nomor telepon, misalnya dengan peralatan GSM Intercept Monitor. Nomor-nomor itu bisa dikloning ke kartu SIM dan dipakai mengambil alih akun WhatsApp. Sedangkan nomor luar negeri, kata dia, dengan mudah dibuat memakai aplikasi gratis di Internet, seperti Second Line atau Line to Call.

Menurut Ardi, varian Pegasus ataupun tiruan Pegasus sudah beredar luas di Internet. Apalagi NSO pernah mengalami kebocoran kode sumber Pegasus pada 2017 ketika seorang karyawannya yang keluar menjual kode sumber itu di pasar gelap seharga US$ 1 juta. “Sewaktu bekas karyawan NSO itu ditangkap, ternyata kode sumber Pegasus sudah sempat digandakan,” kata Ardi.

“Pegasus ini high price, jadi cuma dipakai untuk target yang high profile,” Pratama menambahkan.

DODY HIDAYAT (CITIZEN LAB, LOOKOUT INC, VANITY FAIR), SHINTA MAHARANI (YOGYAKARTA)