Amnesti Internasional telah terungkap bahwa ponsel milik aktivis dan jurnalis Serbia telah diretas oleh intelijen dan polisi Serbia menggunakan spyware Israel dan alat forensik perangkat seluler lainnya.
Perangkat lunak ini digunakan “untuk secara tidak sah menargetkan jurnalis, aktivis lingkungan hidup dan individu lain dalam kampanye pengawasan rahasia”, kata Amnesty pada hari Senin.
Banyak orang yang menjadi sasaran belum ditangkap atau didakwa melakukan pelanggaran apa pun, tambahnya.
Badan Intelijen Keamanan Serbia, yang dikenal sebagai BIA, menolak tuduhan bahwa spyware telah digunakan secara ilegal.
“Alat forensik digunakan dengan cara yang sama oleh kepolisian lain di seluruh dunia,” katanya dalam sebuah pernyataan. “Oleh karena itu, kami bahkan tidak bisa mengomentari tuduhan tidak masuk akal dari mereka [Amnesty’s] teks, sama seperti kami biasanya tidak mengomentari konten serupa.”
Jadi apa yang terjadi di Serbia dan apa maksudnya?
Bagaimana penggunaan spyware terungkap?
Menurut laporan Amnesty setebal 87 halaman yang berjudul Penjara Digital: Pengawasan dan Penindasan Masyarakat Sipil di Serbia, jurnalis independen Slavisa Milanov dibawa ke kantor polisi setelah penghentian lalu lintas rutin pada bulan Februari.
Ketika dia mengambil teleponnya setelah wawancara polisi, Milanov memperhatikan bahwa data dan pengaturan Wi-Fi telah dinonaktifkan. Menyadari hal ini sebagai kemungkinan indikasi peretasan, Milanov menghubungi Lab Keamanan Amnesty International dan meminta pemeriksaan terhadap perangkat selulernya.
Laboratorium menemukan jejak digital dari teknologi Universal Forensic Extraction Device (UFED) milik grup perangkat lunak Cellebrite, yang tampaknya telah digunakan untuk membuka kunci perangkat Android Milanov.
Mereka juga menemukan spyware yang menurut Amnesty sebelumnya tidak mereka kenal – sebuah program bernama NoviSpy – yang telah diinstal di telepon Milanov.
Milanov mengatakan dia tidak pernah diberi tahu bahwa polisi bermaksud menggeledah teleponnya dan polisi tidak memberikan pembenaran hukum apa pun atas tindakan tersebut. Dia mengatakan dia tidak tahu data spesifik apa yang telah diambil dari ponselnya.
Amnesty mengatakan penggunaan teknologi semacam ini tanpa izin yang tepat adalah “melanggar hukum”.
“Penyelidikan kami mengungkap bagaimana pihak berwenang Serbia menggunakan teknologi pengawasan dan taktik penindasan digital sebagai instrumen kontrol negara yang lebih luas dan penindasan yang ditujukan terhadap masyarakat sipil,” kata Dinushika Dissanayake, wakil direktur regional Amnesty International untuk Eropa.
Apa yang ditemukan dalam penyelidikan Amnesty?
Investigasi Amnesty International menghasilkan dua temuan penting. Pertama, ditemukan “bukti forensik” yang menunjukkan penggunaan teknologi Cellebrite untuk mengakses perangkat jurnalis.
Cellebrite, sebuah perusahaan intelijen digital yang berbasis di Israel, menghasilkan teknologi ekstraksi data yang banyak digunakan secara sah oleh departemen penegakan hukum secara global, khususnya di Amerika Serikat.
Menanggapi laporan Amnesty, Cellebrite mengeluarkan pernyataan yang mengatakan: “Kami sedang menyelidiki klaim yang dibuat dalam laporan ini dan siap untuk mengambil tindakan sesuai dengan nilai-nilai etika dan kontrak kami, termasuk pemutusan hubungan Cellebrite dengan lembaga terkait.”
Amnesty juga menemukan spyware jenis kedua di telepon jurnalis tersebut. Tidak jelas siapa yang menciptakan NoviSpy atau dari mana asalnya.
Teknologi ini tampaknya mampu memungkinkan penyerang mengakses dan mengekstrak informasi rahasia dari ponsel pintar yang terinfeksi dari jarak jauh.
NoviSpy, yang dapat digunakan untuk mengambil data dari perangkat Android, juga dapat memberikan kontrol tidak sah atas mikrofon dan kamera perangkat, sehingga menimbulkan risiko privasi dan keamanan yang signifikan, demikian temuan laporan tersebut.
Laporan Amnesty menyatakan: “Analisis terhadap beberapa sampel aplikasi spyware NoviSpy yang dipulihkan dari perangkat yang terinfeksi, menemukan bahwa semuanya berkomunikasi dengan server yang dihosting di Serbia, baik untuk mengambil perintah maupun data pengawasan. Khususnya, salah satu sampel spyware ini dikonfigurasi untuk terhubung langsung ke rentang alamat IP yang terkait langsung dengan BIA Serbia.”
NoviSpy bekerja mirip dengan spyware komersial seperti Pegasus, spyware canggih yang dikembangkan oleh perusahaan intelijen siber Israel NSO, yang terlibat dalam skandal peretasan yang disorot pada tahun 2020.
Menurut laporan tersebut, program NoviSpy menyusup ke perangkat, menangkap serangkaian tangkapan layar yang menunjukkan informasi sensitif seperti konten akun email, percakapan Signal dan WhatsApp serta interaksi media sosial.
Dalam insiden lain yang dilaporkan oleh Amnesty International yang melibatkan perangkat lunak NoviSpy pada bulan Oktober, pihak berwenang Serbia memanggil seorang aktivis dari LSM Krokodil yang berbasis di Beograd, sebuah organisasi masyarakat sipil non-partisan yang berfokus pada budaya, sastra, dan aktivisme sosial, ke kantor BIA.
Saat aktivis berada di ruang wawancara, ponsel Android aktivis ditinggalkan begitu saja di luar. Pemeriksaan forensik selanjutnya yang dilakukan oleh Lab Keamanan Amnesty International mengungkapkan bahwa selama ini, spyware NoviSpy telah dipasang secara diam-diam di perangkat tersebut.
Mengapa jurnalis dan aktivis menjadi sasaran?
Amnesty International dan organisasi hak asasi manusia lainnya mengatakan serangan spyware digunakan untuk mengekang kebebasan media dan melakukan kontrol yang lebih luas atas komunikasi di dalam negara.
“Ini adalah cara yang sangat efektif untuk sepenuhnya menghambat komunikasi antar manusia. Apa pun yang Anda katakan dapat digunakan untuk melawan Anda, yang melumpuhkan baik secara pribadi maupun profesional,” kata seorang aktivis yang menjadi sasaran spyware Pegasus dan dalam laporan tersebut disebut sebagai “Branko”. Amnesty mengatakan pihaknya telah mengubah beberapa nama untuk melindungi identitas individu.
“Goran” (yang namanya juga diubah), seorang aktivis yang juga menjadi sasaran spyware Pegasus, mengatakan: “Kita semua berada dalam bentuk penjara digital, gulag digital. Kita mempunyai ilusi kebebasan, namun kenyataannya, kita tidak mempunyai kebebasan sama sekali. Hal ini mempunyai dua dampak: Anda memilih untuk melakukan sensor mandiri, yang sangat mempengaruhi kemampuan Anda untuk melakukan pekerjaan, atau Anda memilih untuk angkat bicara, dalam hal ini, Anda harus siap menghadapi konsekuensinya.”
Spyware mungkin juga digunakan untuk mengintimidasi atau menghalangi jurnalis dan aktivis melaporkan informasi mengenai pihak berwenang, kata Amnesty.
Pada bulan Februari, Human Rights Watch (HRW) menerbitkan temuan bahwa dari tahun 2019 hingga 2023, spyware Pegasus digunakan untuk menargetkan setidaknya 33 individu di Yordania, termasuk jurnalis, aktivis, dan politisi. HRW mengacu pada laporan Access Now, sebuah organisasi nirlaba berbasis di AS yang berfokus pada privasi online, kebebasan berbicara, dan perlindungan data.
Laporan tersebut, yang didasarkan pada penyelidikan forensik kolaboratif dengan Citizen Lab, sebuah pusat penelitian akademis Kanada, menemukan bukti adanya spyware Pegasus di perangkat seluler. Beberapa perangkat ditemukan telah terinfeksi beberapa kali.
Namun, penyelidikan tidak dapat menentukan organisasi atau negara mana yang bertanggung jawab mendalangi serangan-serangan ini.
“Teknologi pengawasan dan senjata siber seperti spyware Pegasus milik NSO Group digunakan untuk menargetkan pembela hak asasi manusia dan jurnalis, untuk mengintimidasi dan menghalangi mereka melakukan pekerjaan mereka, untuk menyusup ke jaringan mereka, dan untuk mengumpulkan informasi untuk digunakan terhadap target lain,” kata laporan itu.
“Pengawasan yang ditargetkan terhadap individu melanggar hak privasi, kebebasan berekspresi, berserikat, dan berkumpul secara damai. Hal ini juga menciptakan efek yang mengerikan, memaksa individu untuk melakukan sensor diri dan menghentikan aktivisme atau pekerjaan jurnalistik mereka, karena takut akan pembalasan.”
Apakah penggunaan spyware legal?
Itu tergantung pada hukum masing-masing negara.
Pasal 41 Konstitusi Serbia menjamin kerahasiaan korespondensi individu dan bentuk komunikasi lainnya untuk melindungi privasi individu. Seperti di negara lain, pengambilan data dari perangkat diperbolehkan berdasarkan KUHAP Serbia namun tunduk pada batasan – seperti atas perintah pengadilan.
Laporan Amnesty International menyatakan: “KUHAP Serbia tidak menggunakan istilah 'bukti digital', namun menganggap data komputer yang dapat digunakan sebagai bukti dalam proses pidana sebagai sebuah dokumen (“isprava”).
“Pengawasan komunikasi, termasuk data digital, dapat diperoleh melalui tindakan pembuktian umum, seperti pemeriksaan dan penggeledahan perangkat seluler atau peralatan lain yang menyimpan catatan digital. Tindakan ini biasanya tidak bersifat rahasia dan dilakukan dengan sepengetahuan dan di hadapan tersangka.”
BIA dan polisi juga berhak memantau komunikasi secara diam-diam guna mengumpulkan bukti untuk penyelidikan kriminal, namun pengawasan semacam ini juga diatur dalam KUHAP.
Karena rumitnya undang-undang di berbagai negara, sulit untuk membuktikan secara pasti apakah data telah diambil secara ilegal, kata para ahli.
Ada preseden internasional terkait bagaimana spyware dapat digunakan. Pasal 17 Kovenan Internasional tentang Hak-Hak Sipil dan Politik menyatakan:
- Tidak seorang pun boleh menjadi sasaran campur tangan yang sewenang-wenang atau melanggar hukum terhadap privasi, keluarga, rumah, atau korespondensinya, atau terhadap serangan yang melanggar hukum terhadap kehormatan dan reputasinya.
- Setiap orang berhak atas perlindungan hukum terhadap campur tangan atau serangan tersebut.
Hingga bulan Juni, 174 negara, termasuk Serbia, telah meratifikasi perjanjian tersebut, menjadikannya salah satu perjanjian hak asasi manusia yang paling banyak diadopsi.
Siapa lagi yang menjadi sasaran spyware dalam beberapa tahun terakhir?
- Pada bulan Oktober 2023Lab Keamanan Amnesty International mengungkapkan bahwa dua jurnalis terkemuka telah menjadi sasaran spyware Pegasus melalui iPhone mereka. Korbannya adalah Siddharth Varadarajan, editor pendiri The Wire, dan Anand Mangnale, editor Asia Selatan di Proyek Laporan Kejahatan dan Korupsi Terorganisir. Tidak diketahui siapa yang bertanggung jawab.
- Pada tahun 2022HRW melaporkan bahwa Lama Fakih, anggota staf senior dan direktur kantor HRW di Beirut, menjadi sasaran beberapa serangan siber menggunakan spyware Pegasus pada tahun 2021. Pegasus diduga menyusup ke telepon Fakih sebanyak lima kali dari bulan April hingga Agustus tahun itu. Fakih, yang mengawasi respons krisis HRW di negara-negara yang mencakup Afghanistan, Ethiopia, Israel, Myanmar, wilayah Palestina yang diduduki, Suriah, dan AS, menjadi sasaran karena alasan yang tidak diketahui oleh pihak yang tidak disebutkan namanya.
- Pada tahun 2020sebuah investigasi kolaboratif yang dilakukan oleh kelompok hak asasi manusia Access Now, Citizen Lab Universitas Toronto dan peneliti independen Nikolai Kvantaliani dari Georgia menemukan bahwa jurnalis dan aktivis dari Rusia, Belarus, Latvia dan Israel serta beberapa orang yang tinggal di pengasingan di Eropa telah menjadi sasaran serangan. Spyware Pegasus. Serangan-serangan ini dimulai pada awal tahun 2020 dan meningkat setelah invasi besar-besaran Rusia ke Ukraina pada tahun 2022. Citizen Lab juga mengidentifikasi serangkaian serangan terhadap jurnalis dan aktivis di El Salvador. Tidak diketahui siapa yang bertanggung jawab atas serangan spyware tersebut.
- Pada tahun 2018Jamal Khashoggi, seorang jurnalis terkemuka Saudi, kolumnis The Washington Post dan seorang kritikus vokal terhadap pemerintah Arab Saudi, dibunuh dan dipotong-potong di dalam konsulat Saudi di Istanbul, Turkiye. Investigasi selanjutnya mengungkapkan bahwa spyware Pegasus telah dikerahkan untuk mengawasi beberapa orang yang dekat dengan Khashoggi.
