NSO Group merespons Forbidden Stories dengan mengatakan bahwa pelaporan itu didasarkan pada "asumsi yang salah" dan "teori-teori yang tak berdasar". Perusahaan itu juga menegaskan kembali bahwa mereka bekerja untuk "misi penyelamatan jiwa".

NSO Group menyatakan bahwa teknologinya digunakan secara eksklusif oleh badan intelijen untuk melacak penjahat dan teroris.

Berdasarkan laporan Transparansi dan Tanggung Jawab NSO Group yang dirilis pada Juni tahun ini, perusahaan itu memiliki 60 klien di 40 negara di seluruh dunia.

"Pegasus bukanlah teknologi pengawasan massal dan hanya mengumpulkan data dari perangkat seluler individu tertentu yang diduga terlibat dalam kejahatan serius dan teror,” tulis NSO Group dalam laporannya.

Di India, ponsel Paranjoy Guha Thakurta, seorang jurnalis investigasi dan penulis buku, diretas pada 2018.Thakurta menyebut dirinya diincar saat sedang menyusun laporan investigasi soal keuangan grup bisnis Ambani.

"Tujuannya untuk memantau siapa saja orang yang saya ajak bicara dan untuk menemukan individu yang memberikan informasi kepada saya dan rekan saya," jelas dia.

Thakurta adalah salah satu dari setidaknya 40 jurnalis India yang dipilih sebagai target klien NSO di India, berdasarkan analisis konsorsium terhadap data yang bocor. Ponsel dua dari tiga pendiri outlet berita online The Wire – Siddharth Varadarajan dan MK Venu – terinfeksi oleh Pegasus. Ponsel Venu diretas baru-baru ini.

Menarget jurnalis ternama

Beberapa jurnalis lain yang bekerja atau berkontribusi untuk outlet berita independen The Wire – termasuk kolumnis Prem Shankar Jha, reporter investigasi Rohini Singh, editor diplomatik Devirupa Mitra, dan kontributor Swati Chaturvedi – semuanya menjadi target pengawasan.

“Mengkhawatirkan melihat begitu banyak nama orang yang berhubungan dengan The Wire, tetapi ada banyak juga orang yang tidak terkait dengan Wire,” ungkap Varadarajan, yang ponselnya diretas pada 2018.

Sementara itu, Menteri Teknologi Informasi India Ashwini Vaishnaw menekankan pengawasan ilegal tidak mungkin dilakukan. “Sebuah cerita yang sangat sensasional diterbitkan oleh portal web tadi malam. Banyak tuduhan berlebihan yang dibuat laporan yang terbit sehari sebelum sidang parlemen. Ini tidak mungkin kebetulan,” ujar dia.

Vaishnaw menyebut ini sebagai upaya untuk memfitnah demokrasi India.

Committee to Protect Journalists (CPJ) sebelumnya telah mendokumentasikan 38 kasus spyware yang digunakan untuk menarget jurnalis di sembilan negara sejak 2011.

Bagaimana cara kerja Pegasus?

Eva Galperin, direktur keamanan siber di Electronic Frontier Foundation (EFF), adalah salah satu peneliti pertama yang mengidentifikasi dan mendokumentasikan serangan siber terhadap jurnalis dan pembela hak asasi manusia di Meksiko, Vietnam, dan negara lainnya pada awal 2010-an. “Pada 2011, Anda akan menerima email, dan email akan masuk ke komputer Anda, dan malware akan dirancang untuk menginstall sendiri di komputer Anda,” jelas dia.

Pemasangan spyware Pegasus di smartphone kini semakin mudah karena target tak perlu mengeklik tautan untuk menginstall spyware.

Klien bahkan dapat mengendalikan ponsel milik target tanpa kontak apa pun dengan target.

Setelah berhasil diinstall, spyware Pegasus memberi klien NSO akses perangkat lengkap ke aplikasi pesan terenkripsi seperti Signal, WhatsApp, dan Telegram.

Pegasus akan tetap aktif hingga perangkat dimatikan. Namun ketika ponsel dihidupkan kembali, ponsel dapat kembali terinfeksi.

Menurut Galperin, operator Pegasus dapat merekam audio dan video dari jarak jauh, mengambil data dari aplikasi pesan, menggunakan GPS untuk pelacakan lokasi, dan mengganti kata sandi dan kunci otentikasi.

Selama bertahun-tahun, pemerintah di seluruh dunia telah bergerak untuk mengumpulkan intelijen menggunakan teknologi, bukan manusia.

Di masa lalu, mereka mengembangkan alat spyware in-house hingga perusahaan spyware swasta seperti NSO Group, FinFisher, dan Tim Hacking turun tangan untuk menjual produk mereka ke pemerintah.

Pada Juni 2021, perusahaan spyware Prancis Amesys didakwa karena menjual spyware ke Libya selama 2007-2011. Menurut penggugat, dalam kasus itu, informasi yang diperoleh melalui pengawasan digital digunakan untuk mengidentifikasi dan memburu oposisi diktator Muammar Khaddafi.

Laporan hasil investigasi kolaboratif internasional ini telah mempertanyakan perlindungan yang diterapkan untuk mencegah penyalahgunaan senjata siber seperti Pegasus dan komitmen NSO Group untuk menciptakan “dunia yang lebih baik dan lebih aman”.