Independen --- Suatu malam, telepon seluler Sasmito dengan kondisi layar mati dan terkunci, tiba-tiba menyala. Ketua Aliansi Jurnalis Independen (AJI) Indonesia ini urung beranjak tidur. Masih di atas kasur, ia lantas mengamati, kunci layar telepon genggamnya seketika terbuka, lantas WhatsAppnya menunjukkan posisi sign out atau keluar.
“Saya sudah curiga mulai dari itu,” ungkap Sasmito mengenang kejadian pada 23 Februari 2022 lalu.
Ia kemudian mencoba mengakses ulang akun WhatsAppnya. Ia buka aplikasi pesan instan tersebut, ia masukkan kode verifikasi, diklik lagi, tapi gagal. Berulang kali dicoba, berulang kali pula ia terpental.
Belakangan Sasmito tahu, akunnya dikuasai pihak lain. Hingga kini tak jelas siapa. Termasuk soal mengapa ia dijadikan target serangan. Bukan hanya WhatsApp, pengambilalihan juga terjadi pada akun media sosial Instagram dan Facebook. Akun Sasmito mengunggah foto Nikita Mirzani dan gambar berisi dukungan terhadap Gerakan Papua Merdeka.
“Belum jelas sampai sekarang apa trigger-nya. Hanya bisa menduga-duga. Saya menduga karena aktivitas di AJI, tapi apakah terkait Papua, atau program investigasi terkait sumber daya alam, saya belum menemukan jawabannya,” ucap Sasmito saat ditemui IndonesiaLeaks pada Maret 2023.
“Dugaan paling kuat mengarah ke aktivitas di Papua,” lanjut dia lagi.
Serangan ini kasat mata. Jalurnya pun sulit dilacak, apalagi siapa penyerangnya. Satu-satunya yang mungkin dilakukan adalah memeriksa perangkat selulernya. Sasmito mencoba itu. Pertama kali perangkatnya diuji forensik digital, tak ditemukan jejak malware pada HP androidnya. Karena masih penasaran, ia menyerahkan telepon genggam itu ke peneliti keamanan digital sekaligus ahli forensik lain.
Hasil pemeriksaan sementara menemukan jejak yang mengarah pada penggunaan perangkat lunak Circles. Ini ditunjukkan dari sejumlah tanda seperti telepon genggam menyala meski dalam keadaan mati, WhatsApp diambil alih tanpa pemberitahuan, hingga diikuti pengambilalihan akun media sosial.
“Gejala yang dialami korban mengarah seperti Circles,” ungkap peneliti sekaligus ahli forensik, Luke Shaw—bukan nama sebenarnya, kepada tim IndonesiaLeaks.
Circles merupakan perusahaan surveilans yang menjual teknologi siber ofensif. Cara kerja perangkat ini mengeksploitasi kelemahan sinyal dan sistem telekomunikasi global, sehingga dapat mengintai panggilan, teks, hingga pelacakan lokasi ponsel. Perusahaan yang didirikan pada 2008 ini diakuisisi oleh Francisco Partners pada 2014, kemudian bergabung dengan NSO Group—perusahaan Israel yang mengembangkan perangkat lunak mata-mata (spyware). Salah satu produknya yang terkenal adalah Pegasus.
Pegasus sempat mengemuka pada kasus jurnalis Jamal Khashoggi yang dibunuh dan dimutilsi pada 2018. Dua pekan setelah pembunuhan, organisasi hak digital Citizen Lab melaporkan bahwa beberapa kawan dekat Khashoggi menjadi target Pegasus. Meski kemudian NSO Group—perusahaan yang mengembangkan Pegasus--menyangkal bahwa produknya digunakan untuk melacak Khashoggi dan berkaitan erat dengan pembunuhan tersebut.
Jejak Circles pada 2018
Berbeda dengan Pegasus, operasi Circles tidak memiliki jejak yang jelas pada ponsel target. Seperti teks penargetan atau tautan berbahaya—yang kadang-kadang muncul pada ponsel korban yang ditargetkan dengan Pegasus (versi lama). Paling mutakhir, Pegasus memiliki kemampuan menyusup ke ponsel target tanpa menggunakan tautan mencurigakan atau interaksi apapun. Dikenal dengan istilah zero click.
Laporan Citizen Lab—organisasi riset yang berbasis di University of Toronto—dalam “Running in Circles Uncovering the Clients of Cyberespionage Firm Circles” mengidentifikasi sedikitnya 25 negara yang menggunakan perangkat lunak ini. Indonesia satu di antaranya.
Peneliti Senior Citizen Lab, Irene Putranto menjelaskan, tim forensik organisasinya memiliki kode unik untuk mengidentifikasi keberadaan Circles. “Kami menemukan tanda unik yang diasosiasikan dengan Circles. Detailnya saya kurang paham, tapi itu secara forensik,” terang Irene Poetranto kepada Tim IndonesiaLeaks pada awal Juni 2023.
“Dia tidak seperti Pegasus, makanya investigasi Circle menggunakan OSINT (Open Source Intelligence), scaning internet, bukan technical analisis forensik,” jelasnya lagi.
Hasil internet scanning atau pemindaian digital tim forensik Citizen Lab mendapati Circles beroperasi di Indonesia pada 2018. IP Firewall yang terdeteksi menunjukkan angka: 203.142.69.82-84 dan 117.102.125.50 – 52. Ketika dilacak menggunakan penelusuran IP Addres, pemilik keduanya tercatat sebagai Radika Karta Utama dengan lokasi server di Jawa Barat. Berdasarkan penelusuran di mesin pencari, nama perusahaan mengarah pada PT Radika Karya Utama.
Berdasarkan dokumen perusahaan yang dibeli dari Administrasi Hukum Umum (AHU) Kementerian Hukum dan HAM tercatat nama Bambang Atmanto Wiyogo sebagai komisaris utama. Ia merupakan anggota DPR dan MPR Fraksi Golkar periode 2014-2019. Bambang sempat bertugas di Komisi I sebelum kemudian dipindah ke Komisi VII DPR RI.
Tim IndonesiaLeaks mengecek alamat kantor yang tercatat di akta perusahaan yakni Lantai 3 Unit B Office 88, Casablanca, Jakarta Selatan. Lokasinya ada di ujung lorong. Pintu kantor dilengkapi kamera pengawas. Perlu akses khusus untuk memasuki ruangan. Di ruangan tertera nama perusahaan “Royal Group”. Berdasarkan penelusuran, Radika Karya Utama merupakan bagian dari usaha Royal Group.
Kantor itu terbagi menjadi beberapa ruangan, di antaranya ruang rapat, administrasi dan ruang untuk direksi. Di ruang utama, tim mencoba menemui Andy Utama selaku petinggi perusahaan. Tapi Sekretaris Pribadi Andy, Yeni mengatakan bahwa jajaran direksi sedang ke luar kota. “Kalau mau wawancara sulit,” kata dia.
Yeni menjanjikan akan menerima Tim IndonesiaLeaks untuk wawancara. Itu mengapa tim kemudian kembali mendatangi kantor tersebut sekaligus membawa surat permohonan wawancara untuk Andy Utama. Tapi hingga laporan itu terbit, Radika Karya Utama tak memberikan jawaban.
Nama Radika Karya Utama muncul dalam beberapa tender pengadaan sejumlah lembaga negara. Perusahaan pemilik Sertifikasi Kelaikan Militer Matkomlek Sistem Komunikasi Taktis Pertempuran Kota pada 2021 dan 2022 ini, juga kerap memenangi pengadaan di kepolisian, TNI dan, instansi kementerian dengan spesifikasi alat komunikasi khusus.
Berdasarkan penelusuran di situs pengadaan Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah (LPSE), pada periode 2017-2018 nama Radika Karya Utama tercatat memenangi beberapa tender pengadaan peralatan dan materiil almatsus. Dua di antaranya pengadaan almatsus pengembangan Zero Click Instrusion System Polda Metro Jaya pada 2017 senilai Rp99,1 miliar. Sementara lainnya adalah pengadaan peralatan dan materiil khusus almatsus Zero Click Intrusion System Direktorat Intelkam Polri pada 2018 senilai Rp149,9 miliar.
Sumber IndonesiaLeaks di bisnis alat penyadapan dan jaringan telekomunikasi mengungkapkan kisaran harga itu masuk akal mengingat yang dibayar termasuk jasa dan pengelolaan pelayanan. Ia mengaku beberapa kali sempat diminta aparat penegak hukum untuk mengoperasikan alat dari NSO Group.
Pegasus, Penyusup Ulung yang Senyap
Di Indonesia, rekam spyware ‘kaki-tangan’ NSO Group bukan saja terendus melalui Circles. Jejak Pegasus samar-samar ditemukan melalui pemindaian internet Citizen Lab.
“Setelah kami menemukan ciri Pegasus, kami melakukan internet scanning. Lalu kami menemukan di Indonesia. Tapi sejauh ini, belum ada korban di Indonesia yang diteliti,” ungkap Irene menjelaskan ihwal indikasi Pegasus di Tanah Air.
Irene menambahkan, salah satu kendala riset ini adalah tak semua korban bersedia menyerahkan ponselnya untuk dicek digital forensik. Ada pula yang tak ingin ketahuan pernah menjadi target Pegasus.
Kolaborasi internasional Organized Crime and Corruption Reporting Project (OCCRP) yang melibatkan lebih 80 jurnalis dan 17 organisasi media yang dikoordinasikan Forbidden Stories merilis The Pegasus Project. Lebih dari 50 ribu nomor diduga menjadi target Pegasus oleh pemerintah di berbagai negara. Jurnalis mengidentifikasi pemilik ratusan nomor tersebut dan Amnesty International bersama Citizen Lab melakukan analisis forensik.
“Sudah beberapa kali saya dapat (laporan) dari Indonesia. Tapi sejauh ini belum ada yang bersedia dianalis,” tutur Irene.
Pada 2022, mengutip laporan Reuters, lebih dari 12 pejabat senior di pemerintah dan militer Indonesia menjadi target perangkat lunak Pegasus. Di antaranya Menteri Koordinator Perekonomian Airlangga Hartarto, penasihat di kementerian, personel militer senior, hingga diplomat regional. Beberapa mengaku menerima email dari Apple In pada November 2021 yang berisi pemberitahuan bahwa mereka menjadi target serangan yang disponsori negara.
Namun Juru Bicara Kementerian Koordinator Perekonomian, Alia Karenina mengatakan atasannya tak pernah mendapatkan email notifikasi terkait spyware. HIngga kini menurutnya, belum ada pemeriksaan digital forensic terhadap ponsel Menko Airlangga.
Tak seperti Circles di mana target masih bisa mengenali tanda-tanda ketika disusupi. Pegasus bekerja senyap. Tidak ada bunyi bip, tidak ada suara, tidak ada layar mati. Detik demi detik begitu hening ketika ‘penyusup digital’ memasuki ponsel target.
Kemampuan perangkat lunak paling mutakhir dari NSO Group ini jauh melampaui sekadar mengintai pesan. Setelah ditanamkan pada ponsel target, sistem mampu mengumpulkan pelbagai informasi yang menakjubkan. Termasuk foto, email, kontak, dan data yang dikirim melalui aplikasi lain seperti Facebook dan WhatsApp. Pegasus bahkan mampu merekam audio dan video langsung.
Alih-alih mencoba mengintai data yang mengalir di antara dua perangkat, Pegasus memungkinkan penggunanya untuk mengambil alih perangkat target. Sehingga dapat mengakses semua yang ada di ponsel korban. Dua sumber IndonesiaLeaks yang terbiasa di industri surveilans mengungkapkan, sekali terinfeksi Pegasus, perangkat korban tak bisa diselamatkan.
Tiga sumber IndonesiaLeaks yang mengaku biasa mendatangkan alat penyadapan ke Indonesia meyakini Pegasus sudah lama ada di Tanah Air. Kendati begitu, proses jual-beli alat ini pun tersembunyi. Pemain di industri ini pun sangat terbatas. Sedikitnya 10 pihak. Seorang pengusaha vendor alat penyadapan yang ditemui IndonesiaLeaks bahkan mengibaratkan arena ini seperti jual-beli narkoba. Satu sama lain, penjual dan pembeli pun kadang tak saling kenal.
Itu mengapa pula peredarannya seringkali dilakukan ‘di bawah tangan’. Karena pengadaan perangkat lunak mata-mata ini harus berwujud secara fisik, tak jarang pembeliannya juga disamarkan. Ada yang mengelabui dengan menggunakan perangkat keras, ada pula yang menyamarkan dengan mengantar atau transit dari satu negara ke negara lain sebelum sampai ke lokasi tujuan pembeli.
Petugas Bea Cukai yang biasa mengecek kedatangan paket impor mengonfirmasi praktik jual-beli alat sadap biasa dilakukan ‘di bawah tangan’. Pelaku biasanya berasal dari institusi penegak hukum. Beberapa modus yang digunakan di antaranya membeli barang melalui perantara atau pihak ketiga, tidak dilakukan secara resmi dan, tanpa dokumen pengantar.
Jenis barang yang lazim ditemukan di antaranya berupa server—ini yang paling banyak, berbentuk kotak, dan alat persenjataan. Biasanya paket kiriman itu akan tertahan setelah melewati pemeriksaan X-ray. Tapi kemudian ada orang suruhan dari masing-masing institusi yang menghubungi Bea Cukai untuk kemudian meloloskan paket tersebut.
Menyaru Sampai ke Indonesia
Pada pengujung 2020, sebuah paket mencurigakan terlacak. Kiriman dari Q Cyber Technologie Sarl (kantor pusat di Luxemburg) ini masuk zona merah saat melalui pemeriksaan. Ini artinya, benda dalam paket tersebut wajib dibuka dan diperiksa.
Q Cyber Technologi Sarl adalah perusahaan yang terafiliasi dengan NSO Group—perusahaan Israel yang mengembangkan Pegasus—dan Circles. Dokumen ekspor-impor yang didapat tim IndonesiaLeaks mengungkap pengiriman satu paket ke Indonesia itu terdiri atas dua perangkat alat yang dilabeli Cisco Reuters dan Dell Server berkode HS 8471.50 pada 15 Desember 2020.
Alat tersebut dibeli oleh perusahaan asal Indonesia, PT Mandala Wangi Kreasindo. Masuk ke Indonesia melalui Bandara Soekarno-Hatta. Tapi sebelum menjejak Tanah Air, paket itu diterbangkan dari Jepang lantas transit dulu di Inggris.
Sumber Indonesialeaks di Bea Cukai menceritakan bahwa alat yang didatangkan berupa alat pendukung komputer dan internet. Tiba di Indonesia pada 1 Desember 2020 dengan uraian barang tercatat sebagai elektronik seberat 1 koli atau setara 40 kilogram.
Namun petugas yang enggan disebut namanya ini, tak mengetahui tujuan perusahaan mendatangkan alat tersebut. Itu sebab pula, usai memeriksa paket, petugas kembali mengemas dan membiarkannya lolos.
“Penerima barang PT Mandala Wangi Kreasindo,” ujar petugas Bea Cukai singkat kepada tim Indonesia Leaks pada Maret 2023.
INFOGRAFIS: Perjalanan Transit Barang Mandala Wangi Kreasindo
Berdasarkan dokumen perusahaan yang dibeli dari Administrasi Hukum Umum (AHU) Kementerian Hukum dan HAM tercatat bahwa PT Mandala Wangi Kreasindo merupakan perseroan tertutup yang didirikan sejak 19 Desember 2011. Tercatat beralamat di Jalan Antara Nomor 13 dengan jenis perusahaan bergerak di bidang kontraktor, pengiriman barang, pembangunan jalan hingga penyedia alat teknologi dan komunikasi.
Mandala Wangi Kreasindo sempat beberapa kali mengganti kepemilikan, bertepatan dengan waktu menjelang kedatangan produk Q Cyber Technologies ke Indonesia pada 2020. Pada akta 20 Maret 2020, terjadi peralihan saham dan kepemilikan saham. Saham Nadia sebanyak 125 lembar dialihkan kepada Heryanto selaku Direktur Utama. Sementara 12.375 lembar saham yang sebelumnya milik PT Kotak Jiwa Sejahtera dipegang Sudjarwo Piri Ramon. Kemudian tiga bulan sebelum produk Q Cyber Technologies atau pada 20 Oktober 2020 kembali mengganti dokumen.
Nadia merupakan saudara kandung Loemongga Nansanggoel Haoemasan Nasution, pemilik Asiana Group yang juga istri Menteri Perindustrian Agus Gumiwang. Tim berupaya mengonfirmasi kepemilikan usaha Nadia melalui Loemongga. Tapi ia mengaku tak tahu, perusahaan adiknya—Mandala Wangi Kreasindo—pernah belanja alat sadap.
“Ini alat apa ya, ini aku nggak ada yang paham, dan kenal, dan pernah dengar. Maaf ya,” kata Loemongga ketika dikonfirmasi melalui pesan.
Bukan saja mengganti kepemilikan, Mandala Wangi Kreasindo juga mengganti alamat perusahaan. Yang mulanya di Jalan Antara, kini ada di Jalan Sudirman Nomor Kavling 52-53 Pacific Place Mall, Jakarta Selatan. Saat tim IndonesiaLeaks mendatangi alamat itu, lokasinya berada di lantai 1 berupa co-working space. Tak ada plang nama perusahaan ataupun tanda-tanda identitas lainnya. Saat bertanya ke dua petugas jaga, mereka mengatakan Mandala Wangi Kreasindo sempat menyewa selama dua tahun mulai Desember 2020 hingga Desember 2022.
“Sekarang sudah tidak ada lagi. Kami tidak tahu,” ucap salah seorang petugas yang ditemui.
Tim IndonesiaLeaks mencoba mengonfirmasi Direktur PT Mandala Wangi Kreasindo, Heryanto. Tapi saat dihubungi melalui telepon dan WhatsApp, ia sama sekali tak merespons. Tim juga berupaya mengirimkan surat permohonan wawancara, tapi pihak perusahaan tak kunjung memberikan tanggapan hingga tulisan ini terbit.
Dua pengusaha sekaligus orang yang mengaku mendatangkan alat sadap bikinan Israel membenarkan Pegasus sempat ada di Indonesia. Bahkan diduga didatangkan sejak 2018. Seorang sumber IndonesiaLeaks yang tak ingin disebutkan identitasnya mengatakan, alat canggih ini diduga telah digunakan institusi seperti Badan Intelijen Negara (BIN), Mabes Polri, Badan Siber dan Sandi Negara (BSSN) dan, Komisi Pemberantasan Korupai (KPK).
Kepala Divisi Teknologi, Informasi dan Komunikasi Kepolisian RI, Inspektur Jenderal Slamet Uliandi membantah institusinya menggunakan Pegasus. Hanya saja ia mengakui penggunaan teknologi penyadapan zero click. Dan tindakan ini pun menurutnya berdasarkan pada lawful interception atau penyadapan yang sah berdasar hukum.
“Polri tidak pernah mendatangkan Pegasus atau menggunakan alat penyadapan Pegasus. Sejauh ini menggunakan alat sistem yang metode lawful intercepted,” kata Uliandi kepada Tim IndonesiaLeaks.
“Selama ini, sejak 2010, ya, Zero Click. Informasi kita dapat, voice kita dapat langsung. Itu kan (diatur dalam) UU ITE.”
Teknologi ini diperlukan untuk mengungkap sejumlah kasus kejahatan. Uliandi mengklaim penyadapan yang dilakukan polisi sesuai Peraturan Kapolri Nomor 5 Tahun 2010 dan Undang-Undang Informasi dan Transaksi Elektronik (UU ITE).
Tim IndonesiaLeaks mencoba mengirimkan surat permohonan wawancara kepada BIN, BSSN dan, KPK. Tapi hingga laporan ini terbit, BIN dan KPK tak memberikan keterangan. Adapun Kepala BBSSN, Hinsa Siburian meminta IndonesiaLeaks menghubungi juru bicaranya, Ariandi Putra untuk mengatur waktu dan mengirim daftar pertanyaan. Namun tak beroleh jawaban.
“Dalam waktu dekat, waktunya (wawancara) belum memungkinkan untuk dilaksanakan. Nanti saya coba lihat kemungkinan waktunya,” kata Ariandi, 6 Maret 2023.
Sumber IndonesiaLeaks mencoba mempraktikkan bagaimana Pegasus bekerja. Pengusaha tersebut mengeluarkan laptop, kemudian membuka sebuah software. Di dalamnya ada berbagai macam tools atau perangkat sebagai jalur untuk memilih serangan. Ia lantas mengarahkan kursornya ke bagian pengisian nomor kontak target.
Kata dia, dengan memasukkan satu nomor saja, ketika target terinfeksi maka penyerang akan mendapatkan data mulai dari telepon, foto, video, peta lokasi terkini dan, dokumen. Bukan itu saja, penyerang juga mampu membuka kamera tanpa diketahui oleh target/pengguna ponsel.
Software tersebut juga memuat pilihan cara untuk menginfeksi perangkat target, apakah itu melalui ponsel, laptop ataukah jalur lain seperti media sosial dan email. Cukup memasukkan akun yang akan disasar, kemudian akan muncul pilihan dokumen apa saja yang butuh diunduh dari target. Penyerang juga leluasa mengetahui gerak-gerik korban target, lantaran mampu mengambil kendali atas kamera ataupun microphone.
NSO Group melalui situs resminya mengklaim menciptakan teknologi untuk membantu lembaga pemerintah--intelijen ataupun penegak hukum--mencegah dan menyelidiki terorisme maupun kejahatan pidana khusus lainnya. Tapi laporan metodologi forensik Citizen Lab bersama Amnesty International menemukan fakta sebaliknya. Alat bikinan perusahaan teknologi asal Israel itu justru sebagian besar menarget kalangan aktivis, jurnalis dan pembela HAM.
Seorang sumber yang pernah mengoperasikan Pegasus dan akrab di dunia mata-mata mengungkapkan, era Pegasus telah lewat. Karena dianggap kelewat mahal dan tak efektif. Setidaknya butuh Rp500 miliar hingga Rp1 triliun untuk mendatangkannya. Itu belum termasuk ongkos memperbarui sistem atau update software setiap tahun. Per tahunnya bisa mencapai Rp100 miliar. Belum lagi, Pegasus terbatas hanya bisa dipakai untuk 7-20 target. Itu mengapa target pun biasanya merupakan highprofile.
“Sekarang yang efektif itu metode surveillance lainnya aja.”ungkap sumber Indonesialeaks.
Namun tak ada yang bisa menjamin era Pegasus telah lewat. Kecanggihan dan kemampuan perangkat lunak ini membuka celah penyimpangan. Laporan NSO Group menyebut ada kesepakatan bersama antara pembeli dan produsen. Salah satunya larangan menyalahgunakan karena fungsi utama Pegasus untuk penegakan hukum dan pencegahan terorisme.
Faktanya, penyusuran Citizen Lab, misalnya, masih menemukan penggunaan Pegasus di Thailand pada 2022. Penyelidikan pada 2020-2021 menemukan 30 korban terinfeksi Pegasus. Laporan organisasi ini juga mendapati bahwa di banyak negara, tak satupun korban yang ditarget Pegasus adalah kriminal atau teroris.
“Sejauh ini kami temukan NSO pakai untuk menarget aktivis, pengacara, jurnalis, anggota parlemen. Sudah banyak bukti menunjukkan produk NSO menargetkan orang yang tidak ada catatan kriminal atau orang yang diputuskan sebagai teroris oleh pengadilan,” ungkap peneliti Citizen Lab, Irene.
Di Indonesia sendiri, laporan SAFENet menunjukkan kenaikan angka serangan digital terhadap mereka yang mengkritik pemerintah. Jumlahnya melejit dalam tiga tahun terakhir. Pada 2022 tercatat 302 kali kasus keamanan digital atau 25 insiden per bulan. Angka ini meningkat dibandingkan dua tahun sebelumnya yakni 147 kasus sepanjang 2020 dan 193 kasus sepanjang 2021.
Maraknya serangan digital, tulis SAFEnet, tak bisa dilepaskan dari situasi politik nasional ataupun lokal. Sejumlah kasus misalnya, terjadi di tengah penolakan wacana perpanjangan masa jabatan presiden menjadi tiga kali. Serangan digital lain juga terekam di antaranya saat mengemuka aksi penolakan revisi Undang-Undang Komisi Pemberantasan Korupsi (KPK) pada 2019.
***
Liputan ini diselenggarakan oleh Konsorsium IndonesiaLeaks yang terdiri dari Majalah Tempo, Koran Tempo, Tempo.co, Jaring.id, Suara.com, Independen.id, dan Bisnis.com.
