বাংলাদেশ রিজার্ভ চুরি: হ্যকারদের সাইবার হামলার কাহিনী

২০১৬ সালে বাংলাদেশ ব্যাংক থেকে উত্তর কোরিয়ার হ্যাকাররা ১০০ কোটি ডলার হাতিয়ে নেয়ার পরিকল্পনা করে এবং এ কাজে তারা অনেকাংশে সফল হতে চলছিল। তবে ৮ কোটি ১০ লাখ ডলার আটকে যায় তাদের ছোটখাট ভুলে। এর ফলে প্রশ্ন সৃষ্টি হয়েছে,  এই দেশটিতে অভিজাত সাইবার – অপরাধের মোকাবিলায় কিভাবে তাদের টিমকে প্রশিক্ষণ দিয়েছে। কিভাবে ওই হামলা চালানো হয়েছিল, বিবিসির এক দীর্ঘ প্রতিবেদনে তা তুলে ধরা হয়। এতে বলা হয়, বাংলাদেশ ব্যাংকের চুরি যাওয়া রিজার্ভের মধ্যে দেড় কোটি ডলার উদ্ধারে সক্ষম হয় বাংলাদেশ। ওই সাইবার হামলা করা হয়েছিল কয়েকটি পর্যায়ে। প্রথমেই শুরু হয়েছিল হ্যাকিং কৌশল দিয়ে।

২০১৫ সালে বাংলাদেশ ব্যাংকের একাধিক কর্মচারীর কাছে একটি নির্দোষ ই-মেইল যায়। ই–মেইলটি করেছিলেন রাসেল আহলাম নামের একজন চাকরিপ্রার্থী। একটি ওয়েবসাইট থেকে তাঁর জীবনবৃত্তান্ত এবং কভার লেটার ডাউনলোডের জন্য একটি আমন্ত্রণ অন্তর্ভুক্ত ছিল ওই ই-মেইলে। বাস্তবে রাসেলের কোনো অস্তিত্ব ছিল না। তিনি কেবল একটি প্রচ্ছদ নাম, যা লাজারাস গ্রুপ ব্যবহার করেছিল।

বিবিসির ওই প্রতিবেদনে বলা হয়, অনেক আগে থেকে রিজার্ভ চুরির প্লট তৈরি করছিল উত্তর কোরিয়ার হ্যাকার গ্রুপ লাজারাস। আর ওই পরিকল্পনার অংশ হিসেবে বাংলাদেশ ব্যাংকের নেটওয়ার্কে ঢুকতে ভুয়া ই-মেইল পাঠিয়েছিল তারা। যুক্তরাষ্ট্রের গোয়েন্দা সংস্থা এফবিআইয়ের তদন্তে এমনটাই উঠে আসে। তদন্তে বলা হয়, বাংলাদেশ ব্যাংকের কয়েকজন কর্মকর্তার কাছে ই-মেইলটি যায়। অন্তত একজন ফাঁদে পা দেন, ডাউনলোড করে ফেলেন।

ই–মেইলের ভাইরাস ঢুকে পড়ে তার কম্পিউটারে। ব্যাংকের সিস্টেমে একবার ঢুকে লাজারাস গ্রুপ গোপনে কম্পিউটার থেকে কম্পিউটারে চলে যায়। ডিজিটাল ভল্ট থেকে শুরু করে যাবতীয় রিজার্ভের তথ্য নিয়ে কাজ শুরু করে। এরপর চুপ হয়ে যায়। এখন প্রশ্ন জাগতে পারে, এক বছর আগে কম্পিউটারে ঢুকে তারা কেন এত দিন বসে থাকল। আসলে অর্থ নিয়ে সরে যাওয়ার জন্য তাদের একটি নিরাপদ রুটের প্রয়োজন ছিল।

এবার আসে জুপিটার স্ট্রিটের নাম। ফিলিপাইনের ম্যানিলার একটি ব্যস্ততম এলাকা। দেশের অন্যতম বৃহত্তম ব্যাংক আরসিবিসির একটি শাখা রয়েছে এখানে। ২০১৫ সালের মে মাসে হ্যাকাররা বাংলাদেশ ব্যাংকের সিস্টেমে ঢুকতে পারার কয়েক মাস পর এখানে চারটি ব্যাংক হিসাব খোলে।

অ্যাকাউন্টগুলো খুলতে অনেক ভুয়া কাগজের আশ্রয় নিয়েছিল তারা। তবে কেন যেন বিষয়টি কারও নজরে পড়েনি। হ্যাকাররা হিসাবগুলোতে ৫০০ ডলার করে রেখেছিল। হিসাবগুলো দিয়ে কোনো লেনদেনই হয়নি। ২০১৬ সালে মূল সাইবার হামলা চালানোর আগে লাজারাস হ্যাকার গ্রুপ পুরোপুরি প্রস্তুতি নিয়ে ফেলে।

তবে তাদের জন্য আরেকটি কঠিন কাজ ছিল তা হলো বাংলাদেশ ব্যাংকের ১০ তলার প্রিন্টার। বাংলাদেশ ব্যাংক তার অ্যাকাউন্ট থেকে সব ট্রান্সফার রেকর্ড করার জন্য একটি পেপার ব্যাক-আপ সিস্টেম তৈরি করেছিল, যা হ্যাকারদের কাজ তাৎক্ষণিকভাবে জেনে ফেলার একটি ঝুঁকি তৈরি করেছিল। তাই তারা প্রিন্টারের সফটওয়্যার হ্যাক করে নিয়ন্ত্রণ নিয়ে নেয়। এবার শুরু হয় আসল কাজ।

বৃহস্পতিবার রাতে নিউইয়র্ক ফেডকে ৩৫টি বার্তা পাঠিয়ে ৯৫ কোটি ১০ লাখ ডলার স্থানান্তরের আদেশ দেয়। হ্যাকারদের সব কাজই পরিকল্পনামাফিক ছিল। তবে হলিউডের সিনেমার মতো ছোট্ট একটি ভুল করে ফেলেছিল হ্যাকাররা। হ্যাকাররা এই টাকা পাঠায় আরসিবিসি ব্যাংকের জুপিটার স্ট্রিটের শাখায়। ম্যানিলায় শত শত ব্যাংক রয়েছে, যা হ্যাকাররা ব্যবহার করতে পারত, তবে তারা বেছে নিল জুপিটার স্ট্রিটের ব্যাংক শাখাকে।

এমনকি এর পেছনে তাদের বহু ব্যয়ও করতে হয়েছে। ভুলটা হয় এখানেই। ফেডকে পাঠানো একটি আদেশে ব্যবহৃত ঠিকানায় ‘জুপিটার’ শব্দটি অন্তর্ভুক্ত ছিল, এটি যুক্তরাষ্ট্রের অবরোধ আরোপ করা ইরানের একটি জাহাজের নাম ছিল। তাই এই নাম এলেই অটোমেটিক সংকেত যায় ফেডে। আদেশ স্থগিত করা হয়। বেশির ভাগ লেনদেনই আর সম্পন্ন হয় না। কেবল ১০ কোটি ১০ লাখ ডলারের ৫টি লেনদেন সম্পন্ন হয়।

এর মধ্যে ২০ মিলিয়ন ডলার শালিকা ফাউন্ডেশন নামের একটি শ্রীলঙ্কার দাতব্য প্রতিষ্ঠানে স্থানান্তরিত হয়েছিল। এখানেও যে ভুলটা হয়, তা হলো শালিকা ফাউন্ডেশনের বানান ভুল হয় হ্যাকারদের। ফাউন্ডেশন বানানটি ভুল করেছিল তারা। ফলে ওই লেনদেনও বন্ধ হয়ে যায়। শেষ পর্যন্ত, হ্যাকারদের কিছু ভুল এবং দৈবক্রমে আট কোটি ১০ লাখ ডলারের বেশি অর্থ হ্যাকাররা সরাতে পারেনি। অল্পের জন্য আট হাজার কোটি ডলার রিজার্ভ হারানোর হাত থেকে বাংলাদেশ বেঁচে যায়।

পরবর্তীতে এই হ্যাকিংয়ের মূল হোতা হিসেবে উত্তর কোরিয়ার হ্যাকার পার্ক জিন হিয়কের নাম জানা যায়। পার্ক জিন হিয়কের বিরুদ্ধে ২০১৬ সালে বাংলাদেশ ব্যাংকের ৮১ মিলিয়ন ডলার রিজার্ভ চুরি এবং ২০১৪ সালে সনি পিকচারস হ্যাক করার অভিযোগ রয়েছে। তথ্যসুত্র বিবিসি

শর্টলিংকঃ