একটি ভুয়া ই-মেইল ও ত্রুটিপূর্ণ প্রিন্টারের সাহায্য নিয়ে যে একটি দেশের কেন্দ্রীয় ব্যাংক থেকে নির্বিঘ্নে বিপুল পরিমাণ অর্থ হাতিয়ে নেওয়া যায়, এমন বিস্ময়কর ঘটনার বিস্তারিত এবার উঠে এসেছে আন্তর্জাতিক গণমাধ্যম বিবিসির এক অনুসন্ধানী প্রতিবেদনে।
২০১৬ সালের ৫ ফেব্রুয়ারি, উত্তর কোরিয়ার হ্যাকাররা ১০০ কোটি মার্কিন ডলার চুরি করার চেষ্টা চালায় বাংলাদেশ ব্যাংকের রিজার্ভ থেকে। তবে তারা পুরোপুরি সফল না হলেও ব্যাংকের রিজার্ভ থেকে ৮ কোটি ১০ লাখ ডলার চুরি করতে সক্ষম হয়। পরে চুরি হওয়া অর্থের মধ্যে মাত্র দেড় কোটি ডলার পুনরুদ্ধার করা সম্ভব হয়। আর লোমহর্ষক সে ঘটনার তদন্ত করে যুক্তরাষ্ট্রের গোয়েন্দা সংস্থা ‘এফবিআই’। এফবিআই’ এর বরাত দিয়ে এ ঘটনার অনুসন্ধানী প্রতিবেদন তৈরী করে বিবিসির প্রতিবেদক জিওফ হোয়াইট ও জিন এইচ লি।
অনুসন্ধানী এ প্রতিবেদনে জানা যায়, এ অর্থ চুরির বিষয়ে তদন্তকারীদের তদন্তে ডিজিটাল যে ফিঙ্গারপ্রিন্ট পাওয়া গেছে, তাতে এটাই স্পষ্ট, উত্তর কোরিয়া সরকারের পুরো মদদেই এ ঘটনা ঘটেছে।
বিবিসির এ প্রতিবেদনে বলা হয়েছে, অনেক আগে থেকেই রিজার্ভ চুরির পরিকল্পনা তৈরি করছিল উত্তর কোরিয়ার হ্যাকার গ্রুপ ‘লাজারাস’। আর ওই পরিকল্পনার অংশ হিসেবে ২০১৫ সালে বাংলাদেশ ব্যাংকের কয়েকজন কর্মকর্তার কাছে রাসেল আহলাম নামের একজন চাকরিপ্রার্থীর ই-মেইল যায়। এটির কভার লেটার ডাউনলোডের জন্য একটি আমন্ত্রণও অন্তর্ভুক্ত ছিল ওই ই-মেইলে।
পরবর্তীতে এফবিআইয়ের তদন্তে উঠে আসে, এটি একটি ভুয়া ই-মেইল, আর রাসেল আহলাম নামটি লাজারাস গ্রুপ তাদের পরিকল্পনা অনুযায়ী ব্যবহার করেছে। দীর্ঘ সময় নিয়ে পরিকল্পিত হ্যাকিংয়ের ঘটনাটি ছোট্ট কিছু ভুলের কারণে সম্পূর্ণরূপে সফল হয়নি।
এবার আসা যাক পুরো ঘটনাটি কিভাবে ঘটলো, সে প্রসঙ্গে।
প্রতিবেদনে উঠে এসেছে, বেশ কয়েকটি পর্যায়ে সংঘটিত হয়েছিল হ্যাকিংয়ের ঘটনাটি। যা শুরু হয়েছিল একেবারেই প্রাথমিক পর্যায়ের একটি হ্যাকিং কৌশলের মধ্য দিয়ে। সাধারণত, আইটি বিভাগের কর্মীরা তাদের সহকর্মীদের সতর্ক করেন একটি বিষয়ে, তা হলো, অচেনা কারো ই-মেইল থেকে পাওয়া লিংকে ক্লিক না করা। কিন্তু, রাসেল আহলাম নামের চাকরিপ্রার্থীর ই-মেইলটির কভার লেটার ডাউনলোডের আমন্ত্রণটি কৌতুহলবসত ব্যাংকের একজন কর্মী ডাউনলোড করে পড়েছিলেন। সেটাই হয়েছিল ঘটনার সূত্রপাত।
সিভিটি ডাউনলোডের মাধ্যমে সেটির ভেতরের ভাইরাসে আক্রান্ত হয় বাংলাদেশ ব্যাংকের কম্পিউটার। লাজারাস গ্রুপের সদস্যরা এরপর এক বছর সময় নেয় চুরি করা অর্থ নিরাপদে কোথায় স্থানান্তর করা যায়, সেই জায়গা নির্ধারণ করতে।
২০১৬ সালের ফেব্রুয়ারিতে এসে হ্যাকারদের সকল প্রস্তুতি শেষ হয়। তখন তাদের সামনে একমাত্র বাধা হয়ে দাঁড়ায় বাংলাদেশ ব্যাংকের প্রায় সম্পূর্ণ ডিজিটাল নেটওয়ার্কের মধ্যে একমাত্র অ্যানালগ উপকরণ, কেন্দ্রীয় ব্যাংক ভবনের দশম তলায় রাখা একটি প্রিন্টার। যা মূলত ব্যাংকের বড় বড় সব লেনদেনের রেকর্ড প্রিন্ট করার কাজে ব্যবহার করা হয়। আর হ্যাকাররা টাকা সরিয়ে নেওয়ার সাথে সাথে এই প্রিন্টারটি থেকে স্বয়ংক্রিয়ভাবে তাদের টাকা চুরির বিস্তারিত তথ্য প্রিন্ট হয়ে বের হয়ে আসার সম্ভাবনার কারণে প্রথমেই তারা এটিকে অকেজো করে দেন। এরপরই ত্রুটিপূর্ণ প্রিন্টারের মাধ্যমে ব্যাংকের সেন্ট্রাল সার্ভারে প্রবেশ করে হ্যাকাররা।
বাংলাদেশ ব্যাংকের কর্মীরা বিকল প্রিন্টারের বিষয়টি লক্ষ্য করলেও ‘আইটি যন্ত্রপাতি প্রায়ই অকেজো হয়’ ভেবে এ ঘটনাটিকে একেবারেই পাত্তা দেননি। সে সময়ের ডিউটি ম্যানেজার জুবায়ের বিন হুদা পরবর্তীতে পুলিশকে বলেন, ‘আমরা ধরে নিয়েছিলাম এটি অন্য দিনের মতো একটি সাধারণ সমস্যা, এর আগেও এমনটি হয়েছিল’।
বাংলাদেশ ব্যাংকের কর্মীরা যখন প্রিন্টারটি আবারও চালু করেন, তখন তারা কিছু উদ্বেগজনক বিষয় খেয়াল করেন। তারা বুঝতে পারেন, জরুরি বার্তায় বাংলাদেশ ব্যাংক থেকে প্রায় ১ বিলিয়ন ডলার ছাড় করতে ফেডারেল রির্জাভের কাছে নির্দেশনা গেছে। এরপর বাংলাদেশ ব্যাংকের পক্ষ থেকে দ্রুত যোগাযোগের চেষ্টা করা হয়। এক্ষেত্রে সমস্যা সৃষ্টি করে বাংলাদেশ এবং যুক্তরাষ্ট্রের স্থানীয় সময়।
হ্যাকাররা ঘটনা ঘটিয়েছে মূলত বৃহস্পতিবার বাংলাদেশ সময় রাত আটটায়, আর সে সময় ছিল নিউইয়র্কে সকাল। অর্থাৎ বাংলাদেশে ব্যাংকিং কার্যক্রম তখন বন্ধ, তবে যুক্তরাষ্ট্রে সকাল হওয়ায় তখনো সেখানে ব্যাংকিং কার্যক্রম চলছে। এদিকে, পরদিন অর্থাৎ শুক্র ও শনিবার বাংলাদেশে সাপ্তাহিক ছুটি। আবার বাংলাদেশে যখন এতবড় হ্যাকিংয়ের তথ্য উদ্ঘাটন হয়, সেদিন শনিবার রাত। পরদিন আবার যুক্তরাষ্ট্রে সাপ্তাহিক ছুটি।
ব্যাংকের পক্ষ থেকে কিছু বুঝে উঠার আগেই ৩৫টি বার্তা পাঠিয়ে ৯৫ কোটি ১০ লাখ ডলার স্থানান্তরের আদেশ দেয় হ্যাকাররা। বাংলাদেশ ব্যাংকের যে পরিমাণ অর্থ নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে জমা রাখা ছিল, তার প্রায় পুরোটাই হ্যাকাররা সরিয়ে ফেলার চেষ্টা চালিয়েছিলেন। কিন্তু, এক্ষেত্রে হ্যাকারদের ছোট, তবে গুরুত্বপূর্ণ কিছু ভুলের কারণে তারা পুরো টাকাটি সরাতে পারেনি।
বাংলাদেশ ব্যাংকের টাকা স্থানান্তরের অনুরোধটি ফেডারেল রিজার্ভ ব্যাংক সাথে সাথে অনুমোদন দেয়নি। কারণ, টাকার গন্তব্য হিসেবে ফিলিপাইনের ‘জুপিটার’ এলাকার একটি ব্যাংকের নাম দেওয়া ছিল। ‘জুপিটার’ শব্দটি তাদেরকে সতর্ক করে দেয়। কারণ, এই নামে একটি ইরানি জাহাজ ছিল, যেটির ওপর মার্কিন নিষেধাজ্ঞা ছিল। তাই এই নাম এলেই অটোমেটিক সংকেত যায় ফেডারেল ব্যাংকে। স্থগিত করা হয় আদেশ। বেশির ভাগ লেনদেনই আর সম্পন্ন হয় না। শুধুমাত্র ১০ কোটি ১০ লাখ ডলারের ৫টি লেনদেন সম্পন্ন হয়।
তারমধ্যে, ২০ মিলিয়ন ডলার শ্রীলঙ্কার একটি দাতব্য প্রতিষ্ঠান ‘শালিকা ফাউন্ডেশন’-এ স্থানান্তরিত হয়। এখানেও যে ভুলটা হয় তা হলো, শালিকা ফাউন্ডেশনের বানান ভুল হয় হ্যাকারদের। ফাউন্ডেশন বানানটি ভুল করেছিল তারা। ফলে ওই লেনদেনও বন্ধ হয়ে যায়। অর্থাৎ হ্যাকাররা সরাতে পারে মোট ৮ কোটি ১০ লাখ ডলার।
বাংলাদেশ ব্যাংক যে আসলে সমস্যায় জর্জরিত, সেটিই যেন প্রথম প্রকাশ পেয়েছিল এ চুরির মাধ্যমে। এটি এখন পর্যন্ত পৃথিবীর ইতিহাসে সবচেয়ে সাহসী সাইবার হামলা ছিল বলেও উল্লেখ করা হয় বিবিসি’র এ প্রতিবেদনে।