Industri surveilans partikelir global menargetkan orang-orang dalam rangka pengumpulan intelijen, manipulasi untuk menggali informasi, dan peretasan perangkat serta akun di internet.
Puluhan ribu orang tersebar di 100 negara jadi target surveilans. Temuan ini diungkap Meta Platforms Inc., dalam sebuah laporan yang diterbitkan Kamis (16/12/2021).
Laporan itu menyatakan sekitar 1.500 akun ditangguhkan, sebagian besar akun palsu yang dijalankan oleh tujuh organisasi di Facebook, Instagram dan WhatsApp.
Secara kolektif, lebih dari setengah lusin lembaga surveilans partikelir berbayar ketahuan menargetkan sekitar 50.000 orang di seluruh panggung layanan milik Meta tersebut.
Meski tidak memerinci bagaimana cara mengidentifikasi perusahaan tersebut, identitasnya diumbar secara gamblang. Sebut saja Black Cube asal Israel, terkenal karena mengerahkan mata-mata atas kasus pemerkosaan di Hollywood, Harvey Weinstein.
Kemudian BellTroX, perusahaan tentara siber bayaran dari India yang pernah diekspos Reuters dan Citizen Lab tahun lalu. Perusahaan Israel lain bernama Bluehawk CI, dan sebuah perusahaan Eropa bernama Cytrox – semuanya dituduh Meta sebagai peretas.
Adapun Cognyte dan Cobwebs Technologies asal Israel dituduh tidak meretas tetapi menggunakan profil palsu untuk mengelabui orang agar mengungkapkan data pribadi.
Satu entitas terakhir berasal dari Tiongkok, tetapi tidak diketahui profilnya. Meta menemukan entitas ini melakukan pengawasan terhadap kelompok minoritas di seluruh wilayah Asia-Pasifik, termasuk di wilayah Xinjiang di Cina, Myanmar, dan Hong Kong.
Entitas “pengawas sewaan” yang dipaparkan dalam laporan ini dinyatakan telah melanggar Standar Komunitas dan Persyaratan Layanan. Ketujuhnya pun dilarang beroperasi lagi di platform milik Meta.
Meta juga memperingatkan puluhan ribu orang yang diyakini telah menjadi sasaran aktivitas jahat ini di seluruh dunia, melalui sistem peringatan yang diluncurkan pada 2015, dan kini telah dimutakhirkan.
Apa yang mereka lakukan?
Dalam laporan Meta, dijelaskan bahwa ketujuh entitas menjalankan taktik, teknik, dan prosedur tertentu dalam setiap tahap rantai serangan.
Cognyte misalnya, menjual layanan yang memungkinkan pengelolaan akun palsu di seluruh platform media sosial termasuk Facebook, Instagram, Twitter, YouTube, dan VKontakte (VK), dan situs web lain.
Pelanggannya bisa ditemukan dari Israel, Serbia, Kolombia, Kenya, Moroko, Meksiko, Jordan, Thailand, bahkan Indonesia. Mereka menarget jurnalis dan politisi di seluruh dunia.
Berikut ringkasan taktik, teknik, dan prosedur yang ditemukan Meta:
Pengintaian
Tahap pertama dari rantai pengawasan ini biasanya paling tidak terlihat oleh target. Diam-diam diprofilkan oleh tentara bayaran dunia maya atas nama klien mereka, sering kali menggunakan perangkat lunak untuk mengotomatiskan pengumpulan data dari seluruh internet.
Perusahaan yang menjual kemampuan ini biasanya memasarkan diri mereka sebagai “layanan intelijen web” untuk memungkinkan pengumpulan, penyimpanan, analisis, dan kemampuan pencarian — baik yang ditargetkan maupun dalam skala besar.
Layanan dan aplikasi ini dirancang untuk menarik informasi tentang target dari semua catatan online yang tersedia. Mereka biasanya menggali dan menyimpan data dari situs web publik seperti blog, media sosial, platform pengelolaan pengetahuan seperti Wikipedia dan Wikidata, media berita, forum, dan situs “web gelap”.
Perangkat lunak yang mereka gunakan biasanya mengaburkan asal aktivitas mereka melalui infrastruktur yang tidak dapat diatribusikan. Dengan demikian, sulit dilacak teknologi yang digunakan, misalnya jenis peranti lunak yang dipakai untuk mengakses sebuah situs.
Salah satu cara utama untuk mengumpulkan informasi di media sosial adalah penggunaan akun palsu. Akun-akun ini dapat digunakan untuk mencari dan melihat profil orang, teman, apa yang disukai, dan informasi lain di dalam platform yang tersedia untuk umum.
Keterlibatan
Fase kedua dari rantai pengawasan ini paling terlihat oleh target, dan paling penting untuk dikenali untuk mencegah kompromi atau penerobosan privasi.
Pelaku menjalin kontak dengan target atau orang-orang yang dekat dengan mereka dalam upaya membangun kepercayaan, mengumpulkan informasi, dan mengelabui mereka agar mengklik tautan atau mengunduh file (untuk mengaktifkan fase “eksploitasi” berikutnya).
Untuk melakukan itu, operator biasanya mengandalkan taktik rekayasa sosial dan menggunakan persona fiktif untuk menjangkau orang-orang melalui email, panggilan telepon, pesan teks, atau pesan langsung di media sosial.
Persona dengan niat jahat ini biasanya menyesuaikan diri dengan setiap target tertentu agar tampak kredibel dan tidak membuat orang curiga. Upaya ini seringkali berkepanjangan dan melibatkan pembuatan properti pendukung yang meyakinkan bagi persona dan organisasi palsu di berbagai layanan internet.
Tujuan rekayasa sosial di antaranya memperoleh informasi sensitif yang diinginkan oleh klien hingga menargetkan individu dengan malware untuk memungkinkan pengawasan perangkat.
Untuk mencapainya, pelaku mungkin mencoba mengarahkan orang ke saluran yang lebih langsung seperti panggilan suara atau video atau bahkan pertemuan langsung.
Eksploitasi
Tahap akhir dari rantai pengawasan umumnya dikenal sebagai “peretasan sewaan.” Penyedia dapat membuat domain phishing yang dirancang untuk mengelabui target agar memberikan kredensial mereka ke akun sensitif seperti email, media sosial, layanan keuangan, dan jaringan perusahaan.
Meta menyatakan melihat sendiri pemalsuan domain organisasi berita, penyedia telekomunikasi, bank, dan layanan pemendekan URL untuk menipu korbannya.
Untuk mengaktifkan pengiriman “payload” berbahaya, pelaku menggunakan eksploit yang dibuat khusus atau memperolehnya dari vendor lain.
Kecanggihan alat sangat bervariasi di seluruh industri ini, mulai dari malware yang mudah dideteksi oleh sebagian besar perangkat lunak anti-virus hingga tautan eksploit satu klik atau bahkan tanpa klik yang dikirim ke target.
Tujuan utamanya adalah untuk memungkinkan pengawasan dan pemantauan di perangkat yang digunakan target, misalnya terhadap ponsel atau komputer.
Pada saat itu penyerang dapat mengakses data apa pun di ponsel atau komputer target, termasuk kata sandi, cookie, token akses, foto, video, pesan, buku alamat, serta mengaktifkan mikrofon, kamera, dan pelacakan lokasi geografis secara diam-diam.
Siapa pengguna surveilans berbayar partikelir ini?
Meta berjanji terus menyelidiki dan menegakkan aturan terhadap siapa pun yang menyalahgunakan aplikasi. Masalahnya, tentara bayaran dunia maya ini bekerja di banyak panggung dan tanpa batas negara.
Kemampuan mereka sering kali digunakan oleh negara-bangsa, dan/atau perusahaan swasta, dan siap bekerja pada siapapun yang mau membayar.
Pihak Facebook mengatakan telah mengidentifikasi beberapa pelanggan Cobwebs, Cognyte, Cytrox, dan Black Cube – pelanggan entitas yang disebut barusan bahkan termasuk firma hukum.
Meski demikian, Meta tidak berniat menelusuri siapa pengguna perusahaan ini. Meta memilih berfokus pada penegakan aturan terhadap perilaku akun, terlepas dari siapa di belakangnya atau siapa targetnya.
Tentara bayaran dunia maya sering mengklaim bahwa layanan dan perangkat pengawasan mereka difokuskan hanya pada penjahat dan teroris.
Padahal menurut penyelidikan Meta, pun hasil penelitian independen, rekan-rekan seindustri, dan lembaga pemerintah, menunjukkan bahwa penargetan tidak pandang bulu.
Mereka mengakui, untuk platform seperti yang dimiliki Meta, tidak ada cara terukur untuk membedakan tujuan atau legitimasi penargetan tersebut.
Kasus sebelumnya membuktikan bahkan jurnalis, pemrotes, kritikus rezim otoriter, keluarga oposisi, dan aktivis hak asasi manusia bisa jadi target.
Meski, Meta sadar bahwa tentara bayaran dunia maya ini jarang menghadapi konsekuensi ketika produk mereka digunakan untuk menargetkan kelompok rentan dan menyebabkan kerugian serius.
*Photo by Noelle Otto from Pexels