Melalui intelijen sumber terbuka, termasuk database perdagangan komersial dan pemetaan infrastruktur spyware, Lab Keamanan menemukan bukti penjualan dan penyebaran spyware yang sangat invasif dan teknologi pengawasan lainnya ke perusahaan dan lembaga negara di Indonesia antara tahun 2017 dan 2023.
The entities include the Indonesian National Police (Kepolisian Negara Republik Indonesia) and the National Cyber and Crypto Agency (Badan Siber dan Sandi Negara).
“Penjualan dan pengalihan teknologi spyware dan pengawasan yang sangat invasif ke Indonesia terus menjadi perkembangan yang memprihatinkan dalam bidang hak asasi manusia. Perdagangan rahasia alat-alat spyware tersebut terus berlanjut pada saat hak atas kebebasan berekspresi, berkumpul dan berserikat secara damai sudah diserang di negara ini,” kata Jurre van Bergen, Ahli Teknologi di Amnesty International.
Ekosistem vendor dan pengawasan yang suram
Penjualan dan pengalihan teknologi spyware dan pengawasan ini dimungkinkan melalui ekosistem vendor, pialang, dan pengecer pengawasan yang suram dengan struktur kepemilikan yang kompleks.
Vendor yang teridentifikasi termasuk Q Cyber Technologies SARL yang berbasis di Luksemburg (terkait dengan NSO Group), konsorsium Intellexa, Wintego Systems Ltd dan Saito Tech yang berbasis di Israel (juga dikenal sebagai Candiru) dan Raedarius M8 Sdn Bhd yang berbasis di Malaysia (terkait dengan FinFisher) . Investigasi juga mengidentifikasi broker dan reseller yang berbasis di Singapura dan Indonesia.
Disengaja atau tidak, jaringan perusahaan yang tidak jelas dan tidak transparan ini dapat menyembunyikan sifat pengawasan ekspor, sehingga menjadikan pengawasan independen menjadi tantangan bagi otoritas peradilan nasional dan internasional, regulator dan organisasi masyarakat sipil.
Transparansi yang terbatas dan kurangnya informasi secara sistemik mengenai transfer pengawasan penggunaan ganda (teknologi atau barang yang dapat digunakan untuk tujuan sipil dan militer), termasuk pemasok dan pengguna akhir yang terlibat dan izin ekspor yang diminta, diberikan, atau ditolak, menjadikan hal ini tantangan bagi mekanisme peraturan – jika ada – untuk ditegakkan secara efektif.
Lab Keamanan juga mengidentifikasi nama domain berbahaya dan infrastruktur jaringan yang terkait dengan beberapa platform spyware canggih, yang tampaknya ditujukan untuk menargetkan individu di Indonesia.
Domain berbahaya terkait dengan Candiru danmilik Intellexa Spyware predator telah meniru outlet media utama nasional dan regional, partai politik oposisi, dan berita media terkait dengan pendokumentasian pelanggaran hak asasi manusia. Situs serangan seperti ini biasanya dipilih oleh operator spyware untuk mengelabui target yang dituju agar mengklik, sehingga menyebabkan perangkat terkena potensi infeksi.
Meskipun Amnesty telah menemukan bukti baru yang signifikan mengenai sistem spyware dan pengawasan yang dipasok ke Indonesia, penelitian ini tidak melibatkan penyelidikan forensik atau upaya untuk mengidentifikasi individu tertentu yang mungkin menjadi sasaran alat pengawasan tersebut.
Alat spyware yang sangat invasif dirancang untuk meninggalkan jejak sesedikit mungkin, sehingga sangat sulit untuk mendeteksi kasus penyalahgunaan alat ini secara melanggar hukum. Sebaliknya, penelitian ini berfokus pada penjualan dan transfer beberapa alat spyware yang sangat invasif.
Lab Keamanan Amnesty International meminta komentar dan klarifikasi mengenai temuan investigasi dari dua puluh satu entitas yang dirujuk dalam investigasi tersebut.
Amnesty International menerima tanggapan dari Candiru (disebut Saito Tech dalam penelitian ini) dan NSO Group (juga menanggapi Circles dan Q Cyber Technologies SARL) serta lembaga eksportir Sekretariat Negara Swiss untuk Urusan Ekonomi (SECO) dan Badan Pengawasan Ekspor Pertahanan Israel (DECA) yang tercermin dalam pengarahan Lab KeamananJaringan pengawasan:
Mengungkap jaringan suram ekspor spyware ke Indonesia. Candiru menanggapi dengan menjelaskan bahwa perusahaan tersebut beroperasi di bawah Badan Pengendalian Ekspor Kementerian Pertahanan Israel (DECA) – Undang-undang Pengendalian Ekspor, 5766-2007. NSO Group menanggapi dengan menjelaskan bahwa mereka diatur secara ketat oleh otoritas kontrol ekspor di negara “tempat mereka mengekspor produk.”