TEMPO.CO, Jakarta - Sebuah firma keamanan siber mengungkapkan ada serangan siber lewat aplikasi smartphone yang mengincar jurnalis, akademisi, pengacara, aktivis HAM, dan politikus oposisi yang dilancarkan oleh pemerintah Mesir.

Para penyerang memasang perangkat lunak pada ponsel target yang memungkinkan mereka membaca file dan email korban, melacak lokasi mereka, mengidentifikasi siapa yang mereka hubungi dan kapan, menurut laporan yang diterbitkan Kamis oleh Check Point Software Technologies, salah satu perusahaan cybersecurity terbesar di dunia, yang berkantor pusat di selatan San Francisco dan di Tel Aviv, menurut laporan New York Times, 5 Oktober 2019.

Dua aktivis yang menjadi sasaran serangan siber ditangkap dalam penangkapan tokoh-tokoh oposisi bulan lalu sebagai bagian dari tindakan keras Mesir terhadap protes antipemerintah.

Check Point menemukan bahwa server pusat yang digunakan dalam serangan itu terdaftar atas nama Kementerian Komunikasi dan Teknologi Informasi Mesir dan bahwa koordinat geografis yang disematkan dalam salah satu aplikasi yang digunakan untuk melacak para aktivis yang terkait dengan markas besar lembaga intelijen Mesir, General Intelligence Service.

Serangan siber dimulai pada 2016, menurut laporan Check Point. Jumlah korban tidak diketahui tetapi Check Point mengidentifikasi 33 orang, sebagian besar tokoh masyarakat sipil dan tokoh oposisi, yang menjadi sasaran dalam satu bagian operasi.

"Kami menemukan daftar korban yang termasuk aktivis politik dan sosial yang dipilih sendiri, jurnalis terkenal dan anggota organisasi nirlaba di Mesir," kata Aseel Kayal, seorang analis Check Point.

Pemerintah Mesir tidak menanggapi permintaan komentar untuk artikel ini.

Serangan itu adalah operasi pembersihan internet Mesir kedua yang baru-baru ini terungkap.

Kampanye rahasia Mesir untuk membangun dukungan bagi militer Sudan menggunakan akun media sosial palsu terungkap pada bulan Agustus. Operasi itu dijalankan oleh perusahaan yang memiliki hubungan dengan pemerintah Mesir.

Serangan siber pada telepon dan akun email para aktivis menggunakan serangkaian aplikasi perangkat lunak untuk menipu pengguna.

Aplikasi untuk Gmail, yang disebut Secure Mail, memberi tahu target bahwa akun mereka telah disusupi, lalu membujuk mereka untuk mengungkapkan kata sandi mereka.

Aplikasi lain disebut iLoud200%, sebuah aplikasi untuk menggandakan volume ponsel. Sebaliknya, itu memberi penyerang akses ke lokasi telepon, bahkan jika pengguna mematikan layanan lokasi.

Salah satu aplikasi yang lebih canggih, IndexY, diklaim sebagai aplikasi gratis untuk mengidentifikasi penelepon yang masuk, kegunaanya serupa dengan aplikasi Truecaller yang terkenal. Tetapi aplikasi tersebut juga menyalin rincian semua panggilan yang dilakukan di telepon ke server yang dikendalikan oleh para penyerang, ungkap Check Point, dengan penekanan pada komunikasi pengguna dengan pihak-pihak di luar Mesir.

Sejak dirilis awal tahun ini, IndexY menjadi aplikasi populer di Google Play Store resmi, tempat ia diunduh 5.000 kali.

Aplikasi IndexY baru masuk di daftar Google Play Store, dan mampu menghindari filter Google untuk memeriksa aplikasi baru. Ini membuktikan tingkat kecanggihannya yang tinggi dan upaya ekstensif yang diinvestasikan dalam pengembangannya, kata para peneliti dari Check Point. Aplikasi itu tersedia di Google Play store hingga Check Point pada 15 Juli menimbulkan keprihatinan dengan Google, yang menghapus aplikasi dan melarang pengembang terkait sekitar dua minggu kemudian.

Terlepas dari keterampilan dan sumber daya mereka, para pelaku tampaknya telah melakukan sejumlah kesalahan yang memungkinkan Check Point untuk melacak asal aplikasi.

Halaman dan situs yang digunakan untuk melakukan serangan itu semuanya terhubung ke alamat IP milik perusahaan telekomunikasi Rusia bernama Marosnet, dan ke server pusat yang terdaftar untuk "MCIT," referensi yang jelas ke Kementerian Komunikasi dan Teknologi Informasi Mesir.

Aplikasi iLoud200%, seperti kebanyakan perangkat lunak geolokasi, memiliki koordinat default, suatu titik yang umumnya ditetapkan pada waktu dan tempat aktivasi awal oleh pengembang. Koordinat default di aplikasi cocok dengan yang ada di markas besar General Intelligence Service, sebuah lembaga yang perannya setara seperti CIA di Amerika.

Dugaan keterlibatan pemerintah Mesir

<!--more-->

Pakar Check Point mengatakan ada kemungkinan bahwa koordinat telah ditanam di aplikasi sebagai bendera palsu oleh seseorang yang mencoba melibatkan negara Mesir. Tetapi penjelasan yang lebih mungkin, kata mereka, adalah bahwa koordinat telah sengaja ditinggalkan di server karena kecerobohan oleh orang-orang yang menjalankan operasi.

Seorang pejabat Check Point mengatakan bahwa petunjuk lain juga menunjukkan keterlibatan negara dalam serangan itu. Durasi multiyear kampanye, serta sejumlah besar data yang dikumpulkan, membutuhkan sumber daya keuangan dan manusia yang signifikan. Dan target serangan, yang tampaknya telah dipilih karena aktivitas atau pandangan politik mereka, tidak selaras dengan motif kejahatan siber konvensional, yang cenderung berfokus pada motif memperoleh uang.

Selain itu, kata Kayal, penyelidikan menunjukkan bahwa para pelaku adalah penutur bahasa Arab dan waktu default yang digunakan dalam aplikasi adalah waktu Mesir.

Dua dari korban yang diidentifikasi oleh Check Point ditangkap setelah protes yang tersebar meletus terhadap presiden Mesir, Abdel Fattah el-Sisi, pada bulan lalu. Keduanya adalah Hassan Nafaa, seorang ilmuwan politik di Universitas Kairo, dan Khaled Dawoud, mantan jurnalis dan pemimpin Konstitusi sekuler Partai, kritikus Presiden El-Sisi yang menonjol.

Korban ketiga, Dr. Shady Al-Ghazaly Harb, seorang ahli bedah dan aktivis oposisi, ditahan pada Mei 2018 karena kritiknya terhadap pemerintah di Twitter. Dia saat ini berada di sel isolasi di sebuah penjara di Kairo di mana dia menghadapi tuduhan menghina presiden dan menyebarkan berita palsu.

Penyelidikan Check Point dimulai setelah Amnesty International melaporkan pada bulan Maret bahwa sejumlah aktivis hak-hak sipil Mesir adalah target kampanye phishing yang disponsori negara dalam upaya untuk mendapatkan kata sandi email korban. Amnesty menyimpulkan bahwa serangan siber itu "kemungkinan besar" dilakukan oleh atau atas nama otoritas Mesir.