RAKYATKU.COM, WASHINGTON - Jamal Khashoggi mungkin mengira, pesan-pesan yang ia kirim ke sesama pembangkang Omar Abdulaziz disembunyikan, terselubung dalam keamanan WhatsApp.
Padahal kenyataannya, mereka dikompromikan - bersama dengan sisa ponsel Abdulaziz, yang diduga telah terinfeksi oleh Pegasus, sebuah malware yang kuat yang dirancang untuk memata-matai penggunanya.
Abdulaziz, seperti yang dilaporkan CNN bulan lalu, menggugat pencipta Pegasus, perusahaan cyber yang berbasis di Israel NSO Group, menuduh mereka melanggar hukum internasional dengan menjual perangkat lunak kepada rezim yang menindas.
NSO membantah terlibat dalam kematian Khashoggi, bersikeras bahwa perangkat lunaknya hanya untuk digunakan memerangi terorisme dan kejahatan.
Perusahaan itu dikutuk sebagai yang terburuk dari yang terburuk oleh whistleblower NSA, Edward Snowden, selama konferensi video dengan audiens Israel November lalu.
"Grup NSO di dunia saat ini, berdasarkan bukti yang kami miliki, mereka adalah yang terburuk dari yang terburuk dalam menjual alat-alat pencurian yang sedang aktif digunakan saat ini melanggar hak asasi manusia para pembangkang, tokoh oposisi, dan aktivis," kata Snowden.
Ancaman besar
CNN menyaksikan kekuatan Pegasus dua tahun lalu. Pakar keamanan seluler di Check Point, salah satu pemimpin dunia dalam keamanan cyber, menunjukkan kepada CNN bagaimana mereka bisa meretas telepon dengan satu klik, mendapatkan akses lengkap ke mikrofon, kamera, keyboard, dan data.
Mereka mengatakan, malware yang mereka gunakan mirip dengan Pegasus: Sebuah pesan yang tampaknya tidak bersalah muncul di ponsel CNN meminta untuk memperbarui pengaturan, dan hanya itu yang mereka butuhkan untuk mengakses telepon.
Pakar keamanan dunia maya, Michael Shaulov, meluncurkan startup keamanan siber pada tahun 2010, sebagian sebagai tanggapan atas apa yang dilihatnya sebagai ancaman potensial dari Pegasus.
“Bahkan ketika [NSO Group menjual] perangkat lunak itu secara khusus ke lembaga penegak hukum yang secara khusus membelinya, dalam kasus orang-orang itu ingin mengejar apa yang disebut target tidak sah, NSO tidak memiliki kendali [untuk itu],” katanya. "Mereka tidak bisa benar-benar mencegahnya."
NSO Group mengaku dapat memantau penggunaan semua perangkat lunaknya oleh semua kliennya, tetapi perlu secara aktif memeriksa bagaimana klien menggunakan produk mereka, sebelum mengetahui adanya kemungkinan penyalahgunaan.
Teknologi perusahaan mengambil keuntungan dari apa yang dikenal sebagai "zero days" - kerentanan tersembunyi dalam sistem operasi dan aplikasi yang memberikan akses peretas elite ke cara kerja dalam ponsel. Istilah ini berasal dari fakta, bahwa pengembang perangkat lunak tidak punya waktu untuk memperbaikinya.
Perusahaan seperti NSO memiliki tim peneliti yang terus-menerus merekayasa balik sistem operasi Apple dan Android, untuk menemukan bug dalam kode yang kemudian dapat mereka eksploitasi, kata Shaulov, menggambarkan proses menemukan nol hari sebagai "seni" di dunia yang sebagian besar hitam dan putih.
Fokus tunggal NSO Group pada perangkat seluler telah menjadikan mereka "anjing alfa" di pasar, kata Shaulov.
Menemukan "zero days" bisa memakan waktu mulai dari beberapa bulan hingga lebih dari satu tahun, dan ada sedikit jaminan efektivitas jangka panjangnya. Tetapi jika kelemahannya tidak diperbaiki, ia dapat dieksploitasi berulang kali untuk meretas ponsel. Pengembang perangkat lunak seperti Apple dan Google, memiliki tim yang berdedikasi untuk menemukan dan memperbaiki kerentanan, tetapi tidak mudah bagi mereka daripada bagi peretas untuk menemukan tautan yang lemah. Selain itu, prioritas pengembang mungkin ada di tempat lain, bahkan bug yang diketahui tetap tidak diperbaiki.
"Kecuali Apple atau Google memperbaiki bug itu, kerentanan itu ... dapat bertahan selama bertahun-tahun. Dan NSO dapat terus menjual perangkat lunak yang dapat melalui bug-bug itu dalam perangkat lunak dan menginfeksi ponsel-ponsel itu," kata Shaulov.
Para peneliti di Citizen Lab yang berbasis di Toronto, telah melacak penggunaan perangkat lunak Pegasus NSO Group ke 45 negara, di mana operator mungkin melakukan operasi pengawasan. Termasuk setidaknya 10 operator Pegasus, yang tampaknya aktif terlibat dalam pengawasan lintas batas.
Khashoggi: 'Tuhan tolong kami'
Perangkat lunak, yang dapat menginfeksi telepon setelah satu klik pada tautan dalam pesan teks palsu, kemudian memberikan peretas akses lengkap ke telepon. Data yang disimpan di telepon, pesan, panggilan telepon, dan bahkan data lokasi GPS terlihat, memungkinkan peretas untuk melihat di mana seseorang berada, dengan siapa dia berbicara, dan tentang apa.
Dalam kasus Khashoggi, peneliti Citizen Lab mengatakan, pesan teks tersebut dikirim ke Abdulaziz, yang menyamar sebagai pembaruan pengiriman tentang paket yang baru saja dipesannya. Tautan tersebut, yang menurut Citizen Lab, dilacak ke domain yang terhubung ke Pegasus, menyebabkan ponsel Abdulaziz terinfeksi malware, memberikan akses hacker ke hampir seluruh ponselnya, termasuk percakapan hariannya dengan Khashoggi.
Dalam satu teks, sebelum kematiannya pada 2 Oktober di konsulat Saudi di Istanbul, Khashoggi mengetahui, bahwa percakapannya dengan Abdulaziz mungkin telah dicegat. "Tuhan tolong kami," tulisnya. CNN diberikan akses ke korespondensi antara Khashoggi dan aktivis yang berbasis di Montreal, Abdulaziz.
Dua bulan kemudian, Khashoggi memasuki gedung itu untuk apa yang menurutnya merupakan janji rutin untuk mengambil surat-surat, yang memungkinkannya menikahi tunangan Turki, Hatice Cengiz. Beberapa menit kemudian, dia terbunuh dalam apa yang kemudian diakui oleh jaksa agung Saudi, sebagai pembunuhan berencana.
Saudi telah menyajikan kisah-kisah bergeser tentang nasib Khashoggi, awalnya menyangkal pengetahuan apa pun sebelum berargumen bahwa sekelompok operator nakal, banyak dari mereka yang merupakan lingkaran dalam Pangeran Mahkota Saudi Mohammed bin Salman, bertanggung jawab atas kematian wartawan.
Riyadh menyatakan, baik Pangeran Mohammed bin Salman maupun Raja Salman, tidak mengetahui operasi untuk menargetkan Khashoggi. Namun, para pejabat AS mengatakan misi semacam itu - termasuk 15 orang yang dikirim dari Riyadh - tidak mungkin dilakukan tanpa izin Mohammed bin Salman.
NSO angkat bicara
Dalam wawancara pertama yang diberikan oleh NSO Group sejak perusahaan tersebut terlibat dalam kasus Khashoggi, CEO Shalev Hulio dengan tegas membantah keterlibatan, dalam pelacakan jurnalis Saudi atau pembunuhannya.
Menyebut kematiannya sebagai "pembunuhan yang mengejutkan," Hulio mengatakan, setelah pemeriksaan yang dilakukan oleh NSO Group, perusahaan akan segera tahu jika perangkat lunak mereka digunakan untuk melacak jurnalis.
"Kami melakukan pemeriksaan menyeluruh terhadap semua klien kami, tidak hanya satu klien yang mungkin menjadi tersangka potensial yang terlibat dalam kasus ini. Tetapi juga klien lain yang mungkin memiliki minat untuk mengikutinya karena beberapa alasan," jelas Hulio dalam wawancara dengan Yedioth Ahronoth, salah satu surat kabar terbesar Israel. “Kami memeriksa semua klien kami, baik melalui percakapan dengan mereka, dan melalui pemeriksaan teknologi yang bodoh. Sistem menghasilkan dokumentasi mereka sendiri, dan tidak mungkin untuk bertindak melawan target ini atau itu, tanpa kita dapat memeriksanya."
“Saya katakan pada catatan, bahwa setelah semua pemeriksaan ini tidak ada penggunaan produk atau teknologi NSO di Khashoggi; dan itu termasuk mengetuk, memantau, menemukan lokasi, atau mengumpulkan intelijen. Tanda seru! Ceritanya tidak benar."
Shalev Hulio - yang nama depannya adalah "S" di NSO - mengatakan NSO Group dapat memutuskan perangkat lunak klien, jika digunakan secara tidak tepat atau terhadap target yang tidak tepat, seperti jurnalis atau aktivis hak asasi manusia yang baru saja melakukan pekerjaan mereka.
“Dalam kasus di mana sistem disalahgunakan, dengan asumsi kita menyadarinya, sistem teknologi yang kita jual akan segera diputuskan; itu adalah sesuatu yang dapat kami lakukan baik secara teknologi maupun secara hukum,” tegas Hulio.
Ditanya berulang kali apakah Pegasus telah dijual kepada Saud al-Qahtani, seorang pejabat tinggi Saudi yang dituduh oleh jaksa Saudi memainkan peran utama dalam pembunuhan Khashoggi, yang memiliki hubungan dekat dengan Putra Mahkota Mohammed bin Salman, Hulio mengatakan tidak, dan bersikeras bahwa NSO tidak menjual ke "elemen pribadi."
"Semua penjualan disahkan oleh Kementerian Pertahanan Israel dan hanya dibuat untuk negara dan polisi dan organisasi penegak hukum mereka," katanya, dan "hanya untuk digunakan memerangi terorisme dan kejahatan."