যেভাবে বাংলাদেশ ব্যাংকের রিজার্ভ চুরি হয়েছিল
যুগান্তর রিপোর্ট
প্রকাশ: ২৯ জানুয়ারি ২০১৯, ০২:১২ এএম
ছবি: সংগৃহীত
এটি দেখতে আর দশজন চাকরিপ্রার্থীর পাঠানো ই-মেলের মতোই ছিল। প্রেরক রাসেল আহলাম একটি কভার লেটার ও একটি জীবনবৃত্তান্ত বা বায়োডাটা পাঠিয়েছেন। যাতে চাকরির জন্য সাক্ষাৎকারে ডাক পাওয়ার প্রত্যাশা ছিল।
কিন্তু এটি দেখে যা মনে করা হয়েছিল, তা কিন্তু নয়। এখানে সম্ভাব্য নিয়োগকর্তা হলো বাংলাদেশের কেন্দ্রীয় ব্যাংক। আর এ ই-মেইল ছিল বহু বছর ধরে করা ব্যাপকভিত্তিক ষড়যন্ত্রের অংশ।
নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে বাংলাদেশ ব্যাংকের মার্কিন ডলার অ্যাকাউন্টে ১০০ কোটি ডলার হাতিয়ে নেয়ার ষড়যন্ত্র ছিল এ ই-মেইল।
২০১৬ সালের ফেব্রুয়ারিতে বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ইতিমধ্যে তিন বছর পার হয়ে গেছে। আগামীকাল বুধবার নিউইয়র্কে আট কোটি ১০ লাখ ডলার খোয়ানোর মামলা করবে বাংলাদেশ ব্যাংক। ইতিমধ্যে বাংলাদেশ ব্যাংক কর্মকর্তারা সেই প্রস্তুতি সেরে রেখেছেন। রিজার্ভ হাতিয়ে নেয়ার ঘটনা ছিল ইতিহাসের সবচেয়ে বড় সাইবার চুরি।
যুক্তরাষ্ট্রে গত বছরে ক্যালিফোর্নিয়া ডিস্ট্রিক্ট কোর্টে কেন্দ্রীয় তদন্ত ব্যুরো এফবিআইয়ের একটি ফৌজদারি মামলার নথি বলছে, ২০১৪ সালের ৭ ও ৮ অক্টোবর বাংলাদেশের বিভিন্ন ব্যাংককে টার্গেট বানিয়ে আসছে হ্যাকাররা।
সনি পিকচার এন্টারটেইনমেন্টে সাইবার হামলা প্রকাশ্যে আসার আগে এবং বাংলাদেশ ব্যাংকের অর্থ চুরির বছরখানেক আগে এ ষড়যন্ত্র পাতানো হয়েছিল।
বাংলাদেশ ব্যাংকে সাইবার হামলা চালাতে ও লক্ষ্যবস্তু বানাতে চারটি গুগল অ্যাকাউন্ট ব্যবহার করা হয়েছে বলে ব্যাংকটি শনাক্ত করতে পারে। সেগুলো হলো- watsonhenny@gmail.com, yardgen@gmail.com এবং তাদের সঙ্গে সংযুক্ত দুটি ই-মেইল অ্যাড্রেস- rasel.aflam@gmail.com and rsaflam8808@gmail.com।
এসব ই-মেইল থেকে বার্তাগ্রহণ করা ইলেকট্রনিক তথ্যপ্রমাণ এবং ডিজিটাল ডিভাইস পরীক্ষা ও বিশ্লেষণসহ এফবিআইয়ের তদন্ত থেকে এসব তথ্য ব্যবহার করা হয়েছে। এই চার অ্যাড্রেস থেকে পাঠানো স্পিয়ার-ফিশিং ই-মেইলগুলো ছিল প্রায়ই একই রকম।
ছত্মবেশে প্রতারণা ও জালিয়াতির মাধ্যমে অর্থ-তথ্য হাতিয়ে নেয়া বোঝাতে ইন্টারনেট ফিশিং পরিভাষাটি ব্যবহার হয়। মূলত কোনো সংগঠন বা ব্যক্তিকে টার্গেট করে প্রতারণামূলক ই-মেইল পাঠিয়ে স্পর্শকাতর তথ্যে ঢুকে পড়াই হচ্ছে স্পিয়ার-ফিশিং।
বাংলাদেশ ব্যাংকের অভিযোগে বলা হয়েছে- এসব ই-মেইলের ভেতর থাকা লিংকগুলো সম্ভবত ম্যালওয়্যার বহন করে নিয়ে এসেছিল। এতে বার্তাপ্রেরক প্রাথমিকভাবে বাংলাদেশ ব্যাংকের কম্পিউটার নেটওয়ার্কে ঢুকতে পেরেছিলেন।
২০১৫ সালের ২৯ জানুয়ারি বাংলাদেশ ব্যাংকের ১৬ কর্মকর্তার কাছে yardgen@gmail.com ব্যবহার করে ১০টি ই-মেইল পাঠিয়েছিল হ্যাকাররা। প্রতিটি ই-মেইল বার্তায় চাকরি চাওয়া হয়েছিল। প্রতিটি ই-মেইল একটি করে লিংক ছিল- যেগুলোতে একটি জীবনবৃত্তান্ত ছিল।
২০১৫ সালের ২৩ ফেব্রুয়ারি বাংলাদেশ ব্যাংকের ১০ জনের কাছে দুটি ই-মেইল পাঠানো হয়। সব ই-মেইল বার্তা ছিল একই রকম। লিংকগুলোতে কেবল ‘Resum.zip’ দেখা যাচ্ছিল। এসব লিংকে ক্লিক করলেই এগুলো কম্পিউটারকে একই ইউআরএল কিংবা ওয়েবসাইটে নিয়ে যেত।
বাংলাদেশ ব্যাংকের তথ্য বলছে- ২০১৫ সালের ২৪ থেকে ২৯ জানুয়ারির মধ্যে yardgen@gmail.com অ্যাড্রেস থেকে বাংলাদেশ ব্যাংকের অন্তত তিনটি কম্পিউটারে এসব লিংক থেকে ফাইল ডাউনলোড হওয়ার চেষ্টা করেছিল।
তদন্ত বলছে, এসব স্পিয়ার-ফিশিং ইমেল ধারণ করা বস্তু বাংলাদেশ ব্যাংকের বার্তাগ্রহীতাদের দিয়ে ডাউনলোড করাতে সফল হয়েছিল।
২০১৫ সালের মার্চে ডাউনলোড হওয়া বস্তু বাংলাদেশ ব্যাংকের নেটওয়ার্কের মধ্যে চলে যায়। এতে নথি স্থানান্তরে সক্ষম ম্যালওয়্যার নেটওয়ার্কের মধ্যে সংরক্ষিত হয়ে যায়।
এভাবে নেটওয়ার্কের ভেতর ডটজিপ আর্কাইভ তৈরি হয়ে যায়। এর মধ্যে কিছু কিছু নথি স্থানান্তর কার্যকর হয়ে যায়। এটির তিনটি আইপি অ্যাড্রেস প্রোগ্রাম করা ছিল।
প্রায় বছরখানেক পর ২০১৬ সালের ২৯ জানুয়ারি প্রতারণাপূর্ণভাবে নথি স্থানান্তর হওয়ার কয়েক দিন আগে নেটওয়ার্কজুড়ে এসব বস্তু পারিপার্শ্বিক নড়াচড়া শুরু করে।
এসব নড়াচড়ার একটি ছিল বাংলাদেশ ব্যাংকের সুইফটলাইভ সিস্টেমের দিকে। এ সিস্টেম ছিল বাংলাদেশ ব্যাংকের সুইফট প্রক্রিয়াগত পরিমণ্ডলের মূল অংশ।
এটি সুইফট অ্যালায়েন্স একসেস অ্যাপলিকেশন ব্যবহার করেছে। যেটি ছিল সুইফট গ্রাহক-পরিচালিত প্রবেশপথ, যেটি অর্থনৈতিক লেনদেন নিশ্চিত করতে অন্যান্য ব্যাংক থেকে বার্তা গ্রহণ ও প্রেরণ করে। অ্যাপলিকেশনটি যখন সুইফটের বার্তা গ্রহণ করে, এটি তখন বার্তাগুলোর স্থানীয় কপিগুলো রেকর্ড করে।
যার মাধ্যমে এসব বার্তা নথিতে রূপান্তরিত করে কিংবা একটি প্রিন্টারে প্রিন্ট দিয়ে এবং একটি আলাদা তথ্যভাণ্ডারে তথ্যগুলো একত্র করা হয়।
সুইফটলাইভ সিস্টেমে বাংলাদেশ ব্যাংকের কম্পিউটার হোস্টিংয়ে যখন হ্যাকাররা ঢোকার চেষ্টা চালায়, তখন তারা অন্তত চারবার এটি লগ-ইনের চেষ্টা চালায়।
বাংলাদেশ ব্যাংকের সুইফটলাইভ সিস্টেমের লগ-ইন চেষ্টার কিছু প্রমাণ মুছে ফেলতেও সফল হয় তারা। কিন্তু এর পরও কিছু প্রমাণ থেকে গিয়েছিল, যা পরে ফরেনসিক পরীক্ষায় ধরা পড়েছিল।
বাংলাদেশ ব্যাংকের তিন সদস্যের একটি দল গতকাল সকালে নিউইয়র্কের উদ্দেশে ঢাকা ছেড়েছেন। কর্মকর্তাদের আশা, আগামী দুই থেকে তিন বছরের মধ্যে মামলাটির নিষ্পত্তি ঘটবে। লন্ডন থেকে একজন আইনজীবী বাংলাদেশ ব্যাংকের দলের সঙ্গে নিউইয়র্কে যোগ দেবেন।
যুক্তরাষ্ট্রের আইন অনুসারে তিন বছরের মধ্যে অর্থপাচারের মামলা করতে হয়। যদি নিউ ইয়র্কের আদালতে এটা প্রমাণিত হয় যে, এই অর্থচুরিতে বিদেশি হ্যাকররা জড়িত ছিল এবং ম্যানিলার রিজাল কমার্সিয়াল ব্যাংকিং করপোরেশন তাতে সাহায্য করেছে, তাহলে অনাবিষ্কৃত অর্থ ফেরত পাওয়া যাবে।