Perangkat keras berlabel Cisco Router dan Dell Server yang dikirim oleh Q Cyber Technologies Sarl, Luksemburg—induk usaha pembuat perangkat lunak penyadapan bernama Pegasus, NSO Group, mendarat di Indonesia pada awal Desember 2020. Kiriman paket dengan nomor register BL: UKHI 1212635 itu dikirim dari Jepang, lalu transit di Bandara Heathrow Inggris sebelum tiba di Bandara Soekarno Hatta, Tangerang, Banten.
Namun, ketika itu, Surat Persetujuan Pengeluaran Barang (SPPB) dari Bea dan Cukai tak langsung terbit. Petugas bandara sempat menaruh curiga terhadap barang senilai US$ 16 ribu atau setara Rp 238,2 juta. Mereka lantas membuka segel guna melakukan pemeriksaan fisik, serta dokumen dengan mengarahkan barang impor berkode HS 8471.50 tersebut ke jalur merah. Indonesia National Single Window (INSW) menjabarkan kode HS pengiriman merujuk pada alat pengolahan data otomatis dan penyimpanan data.
Seorang pejabat di Direktorat Jenderal Bea dan Cukai Kementerian Keuangan menyebut proses clearance dan administrasi kepabeanan tidak menemukan kejanggalan dalam proses importasi barang. Perangkat dari Q Cyber Technologies Sarl kemudian langsung diserahkan kepada penerima, yakni PT Mandala Wangi Kreasindo yang beralamat di Jalan Jenderal Sudirman dengan Nomor Kavling 52-52 Pasific Place, Jakarta.
Makelar alat sadap NSO yang Indonesialeaks temui menduga kedua perangkat terkait produk mata-mata. Selain karena dikirim oleh perusahaan yang memproduksi alat sadap, kata dia, perangkat keras komputer bermerek Dell kerap digunakan untuk membungkus perangkat intelijen. Perusahaan komputer berbasis di Amerika Serikat ini bisa membikin komputer sesuai permintaan. Dengan begitu, produk yang didatangkan ke Indonesia tidak bisa dicari perbandingannya di pasaran.
Hal ini yang juga diakui kerap membikin Bea Cukai kelimpungan untuk menaksir nilai kepabeanan barang-barang impor sejenis. “Barang seperti itu susah ditaksir nilai kepabeanan karena tidak ada pembanding,” kata sumber itu.
Indikasi pengiriman produk yang diduga alat spionase juga terekam dalam dokumen riwayat barang impor perusahaan di Panjiva Inc—sebuah perusahaan data perdagangan global yang berbasis di New York, pada 15 Desember 2020.
Kami sempat menyambangi alamat dari PT Mandala Wangi Kreasindo. Lokasinya berada di lantai 1 Pacific Place Mall. Namun yang kami temukan hanya co-working space. Tak tertera nama perusahaan, maupun informasi terkait perdagangan. Di ruang kerja bersama itu hanya tampak sekumpulan anak muda. “Sudah tidak ada lagi. Kami tidak tahu lagi,” kata salah satu petugas keamanan.
Dihubungi lewat sambungan telepon, Direktur PT Mandala Wangi Kreasindo, Haryanto, enggan merespon permintaan wawancara. Dokumen Administrasi Hukum Umum (AHU) Kementerian Hukum dan Hak Asasi Manusia mencatat bahwa PT Mandala Wangi Kreasindo berdiri sejak 19 Desember 2011. Perusahaan yang salah satunya bergerak pada penyediaan alat teknologi dan komunikasi ini berlokasi di Jalan Antara Nomor 13. Pada 20 Oktober 2020, perusahaan ini berganti kantor di Pacific Place Mall.
Jelang kedatangan produk Q Cyber Technologies ke Indonesia pada 2020, perusahaan mengganti kepemilikan sebanyak tiga kali. Pada 20 Maret 2020 perusahaan dipimpin oleh Heryanto selaku direktur, lalu Nadia Boroedheak Paroedjar Hamonangan Nasoetion sebagai pemilik saham sebesar Rp12.500.000 dengan 125 lembar saham, PT Kotak Jiwa Sejahtera Rp1.237.500.000 sebanyak 12.375 lembar saham, dan Sudjarwo Piri Ramon sebagai komisaris.
Di saat bersamaan, tepatnya 20 Maret 2020, perusahaan kembali mengalami pergantian struktur. Pengubahan ini ditandai peralihan saham dari Nadia Boroedheak Paroedjar Hamonangan Nasoetion kepada Heryanto sebesar Rp12.500.000 dengan 125 lembar saham. Lalu, PT Kotak Jiwa Sejahtera mengalihkan kepada Sudjarwo Piri Ramon sebagai komisaris dengan kepemilikan saham Rp1.237.500.000 dengan 12.375 lembar saham. Perusahaan kembali mengganti dokumen perusahaan pada 20 Oktober 2020 dengan kepemilikan yang sama. Pergantian itu dilakukan tiga bulan sebelum perangkat dari Q Cyber Technologies didatangkan ke Indonesia.
Tim Indonesialeaks juga telah berusaha mengonfirmasi kepemilikan ini dengan mendatangi kantor salah satu nama yang tercantum dalam akta di Equity Tower lantai 26 SCBD, Jakarta Selatan pada Jumat, 8 Juni 2023. Namun saat disambangi, kantor tersebut telah tutup.
***
Penyalahgunaan alat sadap perusahaan Israel NSO Group di sejumlah negara mendorong sejumlah media anggota konsorsium Indonesialeaks sejak tahun lalu memipil keberadaan alat mata-mata Pegasus di Indonesia. Terlebih sebelumnya kolaborasi global terdiri dari Forbidden Stories, Amnesty International, Organized Crime and Corruption Reporting Project, dan sejumlah lembaga sempat mendeteksi adanya penyalahgunaan perangkat lunak NSO di banyak negara.
Peneliti Citizenlab asal Indonesia, Irene Poetranto menduga sistem Pegasus sudah dipergunakan secara luas di Asia Tenggara. “Ada ribuan korban di seluruh dunia. Termasuk Indonesia,” ujarnya.
Sedikitnya ada 37 telepon genggam yang berhasil terkonfirmasi. Beberapa di antaranya berdomisili di Mexico, Hungaria, Uni Emirat Arab, dan Thailand. Citizen Lab meyakini penyadapan itu ilegal karena menyasar para aktivis, jurnalis, eksekutif perusahaan, bahkan diplomat pemerintah.
Serangan pegasus menjadi momok bagi banyak kalangan ialah saat jurnalis Jamal Khashoggi tewas dibunuh saat menyambangi gedung konsulat Arab Saudi di Istanbul pada 2 Oktober 2018. Kolaborasi sejumlah jurnalis dan tim forensik Forbidden Stories menemukan malware tertanam di ponsel sebelum kematian Khashoggi.
Dalam laporan Citizenlab disebutkan bahwa Pegasus menyerang target dengan menanamkan sejenis malware ke dalam telepon genggam seseorang. Sekali tertanam, maka operator penyadapan bisa mengetahui seluruh data, baik percakapan, media sosial, email, maupun foto, dan video yang tersimpan. Alat ini juga bisa mengendalikan kamera, microphone, dan mengaktifkan lokasi telepon tanpa diketahui pengguna alias zero-click. Hal ini yang membedakan Pegasus dengan perangkat lunak peretasan lainnya yang mengharuskan pengguna mengklik tombol atau tautan (one click).
Sepak terjang Pegasus ini yang kemudian mendorong Meta, induk perusahaan WhatsApp, melayangkan gugatan lewat Pengadilan Federal Amerika Serikat pada 2019. Mereka mempersoalkan praktik penyadapan yang menarget 1.400 orang, termasuk jurnalis dan aktivis kemanusiaan di sejumlah negara. Gugatan serupa dilayangkan Apple pada 2021. Apple mempertanyakan proses penyadapan yang dinilai minim pengawasan dan tak akuntabel.
Citizenlab juga menemukan indikasi penggunaan Pegasus dalam operasi pembungkaman masyarakat sipil dan jurnalis prodemokrasi di Thailand. Dalam proses penyelidikan yang dilakukan pada 2020-2021, sebanyak 30 device terinfeksi Pegasus. ”Kami menemukan adanya serangan di Iphone. Serangan terjadi balik layar. Tidak kasat mata, jika seseorang terkena Pegasus,” kata Irene.
Di Indonesia, pada 30 September 2022, Reuters melaporkan serangan Pegasus yang sedikitnya menyasar 12 pejabat senior pemerintah. Ketua Umum Partai Golkar yang kini menjabat Menteri Koordinator bidang Perekonomian, Airlangga Hartarto salah satunya. ”Itu nggak boleh. Seharusnya kalau sadap harus law enforcement,” ujarnya. Penegakan hukum yang dimaksud Airlangga ialah perundang-undangan.
Pasal 40 Undang-Undang Nomor 36 Tahun 1999 UU Telekomunikasi menyatakan setiap manusia dilarang keras melakukan aktivitas penyadapan yang kemudian disalurkan dalam bentuk apapun. Larangan abuse dan penyadapan juga diatur dalam Undang-Undang Informasi Transaksi Elektronik (ITE). Regulasi tersebut menekankan pihak yang boleh melakukan penyadapan dalam rangka penegakan hukum.
Salah satu tanda intersep Pegasus, menurut Irene, ialah notifikasi pemberitahuan pada ponsel berbasis IOS. Sistem keamanan Iphone disinyalir mampu mendeteksi karena pernah mendapat serangan Pegasus. Dari hasil forensik sejumlah kasus ditemukan kode tertentu yang hanya dimiliki NSO. ”Ada kode tertentu yang menandakan itu serangan Pegasus,” kata Irene.
Sayangnya, tidak semua pengguna perangkat telepon pintar sadar dengan pertanda intersep. Juru Bicara Kemenkoperek, Alia Karenina menyebut bahwa Menteri Airlangga pun tak sempat memonitor notifikasi Iphone. “Bapak menggunakan beberapa handphone untuk keperluan berbeda, tidak hanya Iphone. Itu pun sudah beberapa kali berganti,” ujarnya saat dihubungi.
Sejumlah praktisi teknologi dan pengusaha yang pernah mendatangkan produk Israel ketika ditemui secara terpisah membenarkan keberadaan alat mata-mata di Indonesia. Badan Intelijen Negara (BIN), Mabes Polri, BSSN dan Komisi Pemberantasan Korupsi (KPK) diduga menggunakan alat tersebut sejak 2018.
Ongkos yang perlu dibayar untuk mendatangkan alat ini tak sedikit. Pegasus sedikitnya dibandrol dengan harga Rp500 miliar sampai Rp1 triliun. Menurut sumber Indonesialeaks, proses pembelian bisa dilakukan melalui perantara pihak ketiga atau perusahaan swasta tanpa melibatkan langsung instansi pemerintah, maupun penegak hukum. Ini dilakukan karena Indonesia dan Israel tidak memiliki hubungan diplomatik. Oleh sebab itu, proses transaksi kerap dilakukan di luar Indonesia, seperti di Singapura, Eropa, maupun Israel.
Setelah melakukan transaksi, pihak perusahaan akan mengirimkan alat NSO ke Indonesia melalui jalur laut maupun udara. Proses pengirimannya pun tak sembarang. Pihak perusahaan terkadang menyamarkan peranti lunak tersebut ke dalam sebuah laptop. Ada pula yang dikirim hanya melalui diska lepas. Setelah proses transaksi selesai, pihak perusahaan akan memberikan waktu kepada pengguna untuk berlatih selama satu minggu.
Sumber Indonesialeaks menyebut tak banyak perusahaan yang memiliki akses ke NSO. Tak lebih dari sepuluh perusahaan yang bisa membawa alat tersebut ke Indonesia. Seluruh lembaga negara yang berminat mendatangkan produk NSO pasti menggandeng salah satu dari perusahaan tersebut. “Mekanismenya selalu B to G karena kita tidak memiliki hubungan diplomatik dengan Israel,” ujar sumber.
Indonesialeaks sempat melihat video penggunaan alat sadap. Ketika sebuah nomor telepon diketik ke dalam sebuah aplikasi, maka keluar pelbagai macam data yang dapat diunduh. Antara lain mengenai lokasi, telepon, kamera, dan video. “Jadi semua dapat diambil.” ujarnya saat ditemui pada 4 November 2022 lalu.
Menurut dia, alat mata-mata Pegasus memiliki spesifikasi khusus, antara yang terbatas dan tidak. Penggunaan secara terbatas hanya dapat menyasar sebanyak 7-20 target. ”Satu target satu user,” katanya.
Para pengguna juga perlu memperbarui perangkat lunak dalam jangka waktu tertentu. Proses ini dilakukan setidaknya setahun sekali. Sekali update pengguna dapat merogoh uang sebesar Rp100 miliar. Jika tidak, maka alat sadap tidak lagi dapat digunakan. ”Makanya targetnya untuk high profil. Mahal barang itu. Kalau mahasiswa, aktivis terkena serangan, banyak caranya di internet,” ungkapnya.
Laporan NSO Group menyebut bahwa penjualan alat kepada suatu negara tidak untuk kepentingan abuse. Melainkan untuk tindakan kejahatan dan penindakan hukum. Namun Irene menilai laporan itu hanya omong kosong. ”Sudah banyak bukti yang menunjukkan produk NSO abuse. Masalahnya perusahaan mengecek apa nggak tindakan abuse? Itu mereka nggak bisa jawab,” ujar peneliti Citizenlab.
Irene meyakini bahwa serangan terhadap korban Pegasus atau alat sadap lain masih mengarah ke masyarakat sipil, jurnalis, politisi, dan tokoh masyarakat di tiap negara. ”Kami belum menemukan satu pun di mana mereka adalah kriminal atau pelaku teroris ,” ujarnya.
Pemerhati kebebasan berekspresi dan hak digital, Southeast Asia Freedom of Expression Network meyakini hal yang sama. Salah satu penyalahgunaan alat sadap terlihat dalam aksi protes masyarakat sipil yang dilancarkan beberapa tahun belakang. Saat pembahasan revisi Undang-Undang KPK pada 2019, misalnya, kalangan akademisi, aktivis di Yogyakarta, dan Bandung menjadi korban. Tidak sedikit ponsel mereka diretas, lalu disalahgunakan. “Kami curiga praktik ini melibatkan operasi digital,” ujar Direktur SAFEnet, Damar Juniarto.
Serangan yang dilakukan selama ini, menurutnya, bukan sekadar phising untuk mencuri kredensial dari sebuah akun digital. Damar meyakini para pelaku menggunakan alat sadap juga untuk mengetahui jejaring pertemanan seseorang. Itu dikuatkan dengan penyebaran pesan yang seolah-olah dikirim oleh pemilik gawai. “Prof. Rimawan menyatakan mendukung revisi. Padahal dia keras menolak,” kata dia merujuk pada kasus peretasan akun Whatsapp Dosen Fakultas Ekonomi Universitas Gadjah Mada, Rimawan Pradiptyo.
Oleh sebab itu, Dewan Perwakilan Rakyat (DPR) menyadari perlu adanya regulasi yang mengatur ihwal penyadapan. Sampai saat itu, menurut anggota Komisi Hukum DPR RI, Arsul Sani, Indonesia belum punya aturan jelas yang menjamin akuntabilitas penggunaan alat sadap. Dalam banyak perkara, konten terkait dengan tujuan penyadapan hanya 5 persen. Sisanya percakapan di ruang privat. “Kami akan usulkan kembali pembahasan RUU Penyadapan tahun depan,” kata dia.
Menurut Arsul, RUU Penyadapan tak hanya akan mengatur kewenangan penegakan hukum. Penyalahgunaan alat sadap di luar kepentingan hukum pun wajib diatur dalam UU. “Bayangkan bagaimana jadinya jika aktivitas kita di kamar jadi objek penyadapan? Makanya harus ada ketentuan pidana,” kata dia.
Pembahasan RUU Penyadapan sebelumnya berjalan alot. Salah satu isu yang menjadi perdebatan ialah tidak tercantumnya kewenangan Badan Intelijen Negara. DPR mengklaim akan memastikan RUU Penyadapan sejalan dengan perspektif hak asasi manusia.
***
Penggunaan alat spionase bukan hal baru di Indonesia. Undang-undang mengizinkan penggunaan alat ini untuk mengungkap kejahatan luar biasa, seperti terorisme, narkoba, perdagangan orang, dan kasus korupsi. Selain Kepolisian RI yang sudah menggunakannya sejak 2010, Badan Intelijen Negara, Kejaksaan Agung, Badan Intelijen Strategis, Badan Siber dan Sandi Negara, dan Komisi Pemberantasan Korupsi (KPK) jelas memiliki kewenangan menggunakan alat semacam itu.
Hingga laporan ini terbit, permohonan wawancara kepada KPK, BIN, dan BSSN tidak dijawab. Kepala BSSN, Hinsa Siburian, saat dihubungi, meminta agar Indonesialeaks menghubungi Juru Bicara BSSN, Ariandi Putra untuk mengatur waktu wawancara. Namun, Ariandi pun tak kunjung menjawab pertanyaan yang sudah dilayangkan. ”Dalam waktu dekat waktunya belum memungkinkan untuk dilaksanakan. Nanti saya coba lihat kemungkinan waktunya,” ujar Ariandi, Senin, 6 Maret 2023.
Sementara itu, Kepala Divisi Teknologi, Informasi, dan Komunikasi Markas Besar Kepolisian RI, Inspektur Jenderal Slamet Uliandi membantah pihaknya menggunakan Pegasus. Menurut dia, alat sadap dengan pendekatan zero-click tak selalu merujuk pada produk NSO. “Perkembangan teknologi itu sangat diperlukan supaya Polri tetap prediktif. Itu yang diharapkan,” ujarnya, Jumat, 9 Juni 2023.
Dalam situs pengadaan elektronik (LPSE), Kepolisian Indonesia tercatat pernah memesan sejumlah alat yang diduga produk NSO sepanjang periode 2017-2021. Pada 2017, Direktorat Intelkam Polda Metro Jaya memesan alat sadap zero click intrusion sebesar Rp99,1 miliar. Setahun berselang, giliran Mabes Polri yang membikin kontrak pengadaan alat sadap IOS lewat belanja negara (APBN) sebesar Rp149 miliar. Kedua tender ini tercatat dimenangkan oleh PT Radika Karya Utama.
Dua alamat internet protocol (IP address) dengan nama Radika Karya Utama sempat muncul dalam laporan Citizenlab berjudul Running in Circles Uncovering the Clients of Cyberespionage Firm Circles yang terbit pada 1 Desember 2020. Laporan ini memuat operasi alat sadap sejenis Pegasus, yakni Circles. Alat surveilance ini juga merupakan produk yang dimiliki oleh NSO Group melalui anak usahanya Circles Technologies. Cara kerjanya pun menyerupai Pegasus. Bedanya, Pegasus bersifat zero-click, sementara Circle dilakukan melalui sistem one click.
Citizenlab menyebut Circles sebagai layanan penyadapan yang menjual sistem untuk mengeksploitasi kerentanan Signaling System 7 atau sebuah serangan yang menggunakan jaringan telekomunikasi global, sehingga pengguna dapat mengintai panggilan telepon, SMS, dan lokasi ponsel di seluruh dunia. Jika terkena Circle, maka pelaku dapat mengirimkan lokasi target dan menerima catatan telepon (call detail records).
Lewat pemindaian internet, Citizenlab berhasil mendeteksi keberadaan Circle di seluruh dunia melalui identifikasi host firewall check point. ”Pemindaian ini memungkinkan kami mengidentifikasi penerapan Lingkaran di setidaknya 25 negara,” tertulis dalam laporan Citizenlab.
Peneliti Citizenlab, Irene menyampaikan bahwa proses internet scanning mendapatkan tanda unik yang diasosiasikan dengan Circle. Salah satu kode serangan Circle ialah “exploit SS7.” “Kami menemukan ciri khas Circle di 25 negara. Indonesia salah satunya.” ujar Irene.
Beberapa negara yang teridentifikasi menggunakan Circle di antaranya Australia, Belgia, Botswana, Cile, Denmark, Ekuador, El Salvador, Estonia, Guinea Khatulistiwa, Guatemala, Honduras, Israel, Kenya, Malaysia, Meksiko, Maroko, Nigeria, Peru, Serbia, Thailand, Uni Emirat Arab (UEA), Vietnam, Zambia, Zimbabwe, dan Indonesia.
Di Indonesia, terdapat dua kode IP address yang terlacak. Pertama 203.142.69.82 – 84, sedangkan kedua berkode 117.102.125.50 – 52. Setelah ditelusuri, terdapat kemiripan antara nama perusahaan yang memenangkan tender di Polri dengan IP address, yakni Radika Karta Utama. Lokasi server terindikasi berada di Jawa Barat.
Radika Karya Utama tercatat memiliki sertifikat kelaikan militer Matkomlek Sistem Komunikasi Taktis Pertempuran Kota pada 2021 dan 2022. Tak heran apabila perusahaan ini kerap memenangkan pengadaan di Kepolisian, TNI, dan instansi kementerian dengan spesifikasi alat komunikasi khusus.
Dalam daftar petinggi perusahaan terdapat nama Bambang Atmanto Wiyogo sebagai komisaris. Bambang pernah menjabat sebagai anggota Dewan Perwakilan Rakyat (DPR) dan Majelis Permusyawaratan Rakyat (MPR) Fraksi Golkar pada 2014-2019. Ia sempat bertugas di Komisi I sebelum dipindah ke Komisi VII. Selain itu, ada nama Andy Utama, selaku Direktur.
Indonesialeaks melakukan penelusuran ke alamat yang tercatat di akta perusahaan, yakni Lantai 3 Unit B Office 88, Casablanca, Jakarta Selatan. Setelah ditelusuri, kantor berlokasi di ujung sebuah lorong. Pintunya dilengkapi kamera pengawas CCTV. Dari balik pintu terlihat nama perusahaan “Royal Group” berkelir putih di mana PT Radika Karya Utama menjadi bagian di dalamnya.
Permohonan wawancara dengan Direktur PT Radika, Andy Utama tak bersambut. Yeni, Sekretaris Andi mengatakan atasannya sedang berada di luar kota. Yeni membenarkan bahwa perusahaan Radika berulang kali jadi mitra polisi pengadaan alat teknologi. Tapi enggan menjelaskan secara rinci. Upaya konfirmasi kedua kami jajaki kembali dengan melayangkan surat pada 19 Mei 2023. Tapi Radika tak kunjung memberi tanggapan.
Laporan ini diselenggarakan oleh media yang berada dalam konsorsium Indonesialeaks, terdiri dari Majalah Tempo, Koran Tempo, Tempo.co, Jaring.id, Suara.com, Independen.id, dan Bisnis.com.
