সিনেমাপ্রেমী হলে হলিউড সিনেমা ‘ক্যাচ মি ইফ ইউ ক্যান’-এর নাম অবশ্যই শোনার কথা, কিংবা সাম্প্রতিক সময়ে নেটফ্লিক্সের ‘মানি হেইস্ট’ সিরিজটা! অর্থ চুরির ঘটনা নিয়ে সাজানো এসব সিনেমা-সিরিজে প্রধান চরিত্রগুলোর দুর্ধর্ষ পরিকল্পনা মুগ্ধ করবে আপনাকে। তবে এর চেয়েও বেশি রোমাঞ্চকর মনে হতে পারে বাংলাদেশ ব্যাংকের রিজার্ভ চুরির কাহিনিটা।
সোমবার বিবিসির এক বিশদ প্রতিবেদনে তুলে ধরা হয়েছে বিশ্বে ব্যাংকিংয়ের ইতিহাসের অন্যতম দুর্ধর্ষ এই চুরির আদ্যোপান্ত। পাঠকদের জন্য তার সারসংক্ষেপ তুলে ধরা হলো-
২০১৬ সালের ৫ ফেব্রুয়ারি বাংলাদেশের কেন্দ্রীয় ব্যাংকের রিজার্ভ থেকে ৮ কোটি ১০ লাখ ডলার চুরি করে দুর্ধর্ষ একদল হ্যাকার। এই ঘটনাটি ছিল তাদের বহু বছরের সুনিপুণ পরিকল্পনার ভিত্তিতে। এক্ষেত্রে বাংলাদেশের অর্থ যুক্তরাষ্ট্রের ফেডারেল ব্যাংক, ফিলিপাইনের আরসিবিসি ব্যাংক, ক্যাসিনো ঘুরে ম্যাকাও হয়ে শেষপর্যন্ত উত্তর কোরিয়ায় পৌঁছায় বলে বিশ্বাস তদন্তকারীদের।
এ ঘটনা কীভাবে ঘটেছিল তা নিয়ে তদন্তে বিভিন্ন সময়ে বিভিন্ন ধরনের তথ্য উঠে এসেছে। তবে শুরুটা কীভাবে হয়েছিল, তা জানলে চোখ কপালে উঠবে!
বিবিসির প্রতিবেদন অনুসারে, এ ঘটনার শুরু একটি ত্রুটিযুক্ত প্রিন্টার থেকে। সেটি বসানো ছিল মতিঝিলে বাংলাদেশ ব্যাংকের প্রধান কার্যালয়ের ১০ম তলায় অত্যন্ত সুরক্ষিত একটি ঘরে। ব্যাংক থেকে কোটি কোটি ডলার লেনদেনের সব রেকর্ড প্রিন্ট হতো এটি দিয়ে।
আজকালকার দিনে প্রিন্টারে সমস্যা অনেকটা দৈনন্দিন ঘটনা হয়ে উঠেছে। একারণে শুরুর দিকে বাংলাদেশ ব্যাংকের কর্মকর্তাদের কাছেও সেই প্রিন্টারের সমস্যাকে সাধারণ ঘটনা বলেই মনে হয়েছিল। ২০১৬ সালের ৫ ফেব্রুয়ারি সকাল ৮টা ৪৫ মিনিটে তারা দেখেন প্রিন্টারটি কাজ করছে না। সে সময় ডিউটি ম্যানেজার ছিলেন জুবায়ের বিন হুদা। পরে তিনি পুলিশকে বলেন, ‘আমরা ধরে নিয়েছিলাম এটি অন্য যেকোনো দিনের মতো একটি সাধারণ সমস্যা, যা আগেও হয়েছে।’
মূলত বাংলাদেশ ব্যাংক যে সমস্যায় জর্জরিত, সেটিই যেন প্রথম প্রকাশ পায় ওই ঘটনার মাধ্যমে। হ্যাকাররা ব্যাংকের কম্পিউটার নেটওয়ার্ক ব্যবস্থায় ঢুকে পড়ে এবং এযাবৎকালের সবচেয়ে দুধর্ষ সাইবার হামলা চালায়।
এক বিলিয়ন ডলার চুরির লক্ষ্য নিয়ে মিশন শুরু করে হ্যাকাররা। এই অর্থ সরাতে তারা একাধিক ভুয়া ব্যাংক অ্যাকাউন্ট, দাতব্য সংস্থা, ক্যাসিনোসহ বিশাল এক নেটওয়ার্ক ব্যবহার করে। কিন্তু কারা ছিল এই হ্যাকার? তদন্তকারীদের পাওয়া সকল তথ্যপ্রমাণ কেবল এক দিকেই নির্দেশ করেছে, তা হলো উত্তর কোরিয়া সরকার।
বিশ্বের অন্যতম দরিদ্র ও আন্তর্জাতিক সম্প্রদায় থেকে বিচ্ছিন্ন একটি দেশ এ ধরনের একটি দুর্ধর্ষ সাইবার-অপরাধের ঘটনায় প্রধান সন্দেহভাজন হয়ে ওঠায় অনেকেই অবাক হতে পারেন।
যুক্তরাষ্ট্রের কেন্দ্রীয় গোয়েন্দা সংস্থা এফবিআইয়ের তথ্যমতে, বাংলাদেশ ব্যাংকের রিজার্ভ চুরি করতে উত্তর কোরিয়া সরকারের সাহায্য নিয়ে বহু বছর ধরে সুপরিকল্পিতভাবে এগিয়েছে হ্যাকাররা। সাইবার নিরাপত্তা ইন্ডাস্ট্রিতে এই দলটি ল্যাজারাস গ্রুপ নামে পরিচিত।
এদের সম্পর্কে খুব কমই জানা যায়। তবে এফবিআই এক সন্দেহভাজনকে চিহ্নিত করেছে, যার নাম পার্ক জিন হিয়ক। এই হ্যাকার পাক জিন-হেক ও পার্ক কোয়াং-জিন নামেও কাজ করে থাকেন। তবে এগুলো তার আসল নাম নয় এবং তিনি রাতারাতিই হ্যাকার হয়ে ওঠেননি।
পার্ক উত্তর কোরিয়ার হাজার হাজার তরুণের একজন, যাকে শৈশব থেকেই সাইবারযোদ্ধা বানানোর জন্য প্রস্তুতি চলছে। সেখানে ১২ বছর বয়স থেকেই প্রতিভাধর গণিতবিদদের স্কুল থেকে সরাসরি রাজধানীতে নেয়া হয়, যেখানে হ্যাকার হয়ে উঠতে তাদের সকাল থেকে রাত অবধি নিবিড় প্রশিক্ষণ দেয়া হয়।
আবারও সেই ত্রুটিপূর্ণ প্রিন্টারের গল্পে ফেরা যাক। বাংলাদেশ ব্যাংকের কর্মীরা প্রিন্টারটি চালু করার পর উদ্বেগজনক কিছু লক্ষ্য করেন। তারা বুঝতে পারেন, যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংকে প্রায় ১০০ বিলিয়ন ডলার, অর্থাৎ অ্যাকাউন্ট খালি করে দেয়ার মতো বার্তা গেছে সেখান থেকে। বাংলাদেশ ব্যাংকের পক্ষ থেকে দ্রুত যোগাযোগের চেষ্টা করা হয়। তবে ঝামেলা বাধায় সময়ের পার্থক্য।
হ্যাকাররা হ্যাকিং শুরু করেছিল বাংলাদেশ সময় বৃহস্পতিবার রাত ৮টায়, সে সময় নিউইয়র্কে ছিল বৃহস্পতিবার সকাল। অর্থাৎ বাংলাদেশে ব্যাংকিং কার্যক্রম যখন বন্ধ, তখন যুক্তরাষ্ট্রে সবেমাত্র শুরু হয়েছে। অন্যদিকে, শুক্র ও শনিবার বাংলাদেশে সাপ্তাহিক ছুটি। ফলে শনিবার যখন বাংলাদেশে চুরির ঘটনা সামনে আসতে শুরু করে, তখন আবার নিউইয়র্কে সাপ্তাহিক ছুটি শুরু হয়ে যায়।
এখানেই শেষ নয়, হ্যাকাররা আরও একটি বুদ্ধি খাটায়। যুক্তরাষ্ট্রের ফেডারেল ব্যাংক থেকে অর্থ ছাড় করতে পারলে তা অন্য কোথাও পাঠানো দরকার হতো। এক্ষেত্রে তারা জায়গা হিসেবে বেছে নেয় ফিলিপাইনের রাজধানী ম্যানিলাকে। কারণ, ২০১৬ সালের ৮ ফেব্রুয়ারি সোমবার ছিল চন্দ্রবর্ষের প্রথম দিন, অর্থাৎ এশিয়াজুড়ে ছিল সরকারি ছুটি।
এভাবে যুক্তরাষ্ট্র, বাংলাদেশ এবং ফিলিপাইনের ছুটি ও সময়ের ব্যবধানকে কাজে লাগিয়ে অর্থ সরাতে পাঁচটা দিন হাতে পায় হ্যাকাররা। ধারণা করা হয়, কয়েক বছর ধরে এই হ্যাকিংয়ের পরিকল্পনা করেছিল ল্যাজারাস গ্রুপ।
হ্যাকারদের ছোট্ট ভুলে বড় ‘ক্ষতি’
এফবিআইয়ের তদন্ত প্রতিবেদন অনুসারে, ২০১৫ সালে বাংলাদেশ ব্যাংকের একাধিক কর্মচারীর কাছে নির্দোষরূপী একটি ই-মেইল আসে। সেটি পাঠিয়েছিলেন রাসেল আহলাম নামে এক চাকরিপ্রার্থী। একটি ওয়েবসাইট থেকে তার জীবনবৃত্তান্ত এবং কাভার লেটার ডাউনলোডের আমন্ত্রণ ছিল ওই ই-মেইলে। তবে বাস্তবে রাসেলের কোনো অস্তিত্ব ছিল না। এটি ছিল ল্যাজারাস গ্রুপের ব্যবহার করা একটি ছদ্মনাম।
বাংলাদেশ ব্যাংকের অন্তত একজন কর্মচারী হ্যাকারদের ফাঁদে পা দিয়ে সেই নথি ডাউনলোড করে ফেলেন। এতে গোপন ভাইরাস ঢুকে পড়ে তার কম্পিউটারে। এভাবে ব্যাংকের সিস্টেমে ঢুকে একের পর এক কম্পিউটারের নিয়ন্ত্রণ নেয় ল্যাজারাস গ্রুপ এবং ডিজিটাল ভল্ট থেকে শুরু করে রিজার্ভের যাবতীয় তথ্য নিয়ে গোপনে কাজ করতে থাকে তারা। এ অবস্থাতেও প্রায় এক বছর একদম চুপচাপ ছিল হ্যাকাররা।
এখন প্রশ্ন জাগতে পারে, ব্যাংকের কম্পিউটারে ঢোকার পরে এতদিন বসে থাকল কেন হ্যাকাররা। এর কারণ, অর্থ নিয়ে সরে পড়তে তাদের একটি নিরাপদ রুট প্রয়োজন ছিল। আর সেই রুট হিসেবে তারা ফিলিপাইনের জুপিটার স্ট্রিটকে বেছে নেয়। এটি ম্যানিলার একটি ব্যস্ততম এলাকা। দেশটির অন্যতম বৃহত্তম ব্যাংক আরসিবিসির একটি শাখা রয়েছে সেখানে।
২০১৫ সালের মে মাসে হ্যাকাররা বাংলাদেশ ব্যাংকের সিস্টেমে ঢুকতে পারার কয়েক মাস পরেই আরসিবিসিতে চারটি ব্যাংক অ্যাকাউন্ট খোলে। এক্ষেত্রে তারা প্রচুর ভুয়া কাগজপত্র ব্যবহার করেছিল। অ্যাকাউন্ট খুলতে ব্যবহৃত ড্রাইভিং লাইসেন্স ছিল ভুয়া, ভিন্ন প্রতিষ্ঠানের নাম দিলেও আবেদনকারী চারজনেরই পেশা ও বেতন ছিল হুবহু এক। এরপরও বিষয়টি রহস্যজনকভাবে ব্যাংকের কারও নজরে পড়েনি। হ্যাকাররা অ্যাকাউন্টগুলোতে প্রাথমিকভাবে ৫০০ ডলার করে রেখেছিল, কিন্তু এরপর আর সেগুলো দিয়ে কোনো লেনদেন হয়নি।
বাংলাদেশ ব্যাংকের সিস্টেমে ঢোকা থেকে শুরু করে অর্থ সরানোর রুট নিশ্চিত করার মাধ্যমে ২০১৬ সালের ফেব্রুয়ারি নাগাদ মূল মিশনের জন্য পুরোপুরি প্রস্তুত হয়ে যায় ল্যাজারাস গ্রুপ। তবে তাদের সামনে আরেকটি বাধা ছিল বাংলাদেশ ব্যাংকের ১০ তলার আরেকটি প্রিন্টার। ব্যাংক সব ট্রান্সফার রেকর্ড করার জন্য একটি পেপার ব্যাক-আপ সিস্টেম তৈরি করা হয়েছিল, যার কারণে হ্যাকারদের কাজ তাৎক্ষণিকভাবে ধরা পড়ার সম্ভাবনা ছিল। একারণে হ্যাকাররা ওই প্রিন্টারের সফটওয়্যার হ্যাক করে সেটিও নিষ্ক্রিয় করে দেয়। এরপর শুরু হয় আসল কাজ।
বৃহস্পতিবার (৪ ফেব্রুয়ারি) রাত ৮টা ৩৬ মিনিটে নিউইয়র্ক ফেডকে ৩৫টি বার্তা পাঠিয়ে মোট ৯৫ কোটি ১০ লাখ ডলার স্থানান্তরের আদেশ দেয় হ্যাকাররা। এ পর্যন্ত সবই তাদের পরিকল্পনামাফিক ছিল। তবে হলিউডি সিনেমার মতো ছোট্ট একটা ভুল করে ফেলে তারা।
হ্যাকাররা এই টাকা পাঠায় আরসিবিসি ব্যাংকের জুপিটার স্ট্রিটের শাখায়। ভুলটা ছিল এখানেই। ফেডকে পাঠানো একটি বার্তায় ঠিকানার মধ্যে ‘জুপিটার’ শব্দটি অন্তর্ভুক্ত ছিল, এটি যুক্তরাষ্ট্রের অবরোধ আরোপ করা ইরানের একটি জাহাজের নাম ছিল। তাই এই নাম আসার সঙ্গে সঙ্গে স্বয়ংক্রিয়ভাবে সতর্ক সংকেত চলে যায় ফেড কর্তৃপক্ষের কাছে। এ নিয়ে সন্দেহ হওয়ায় বেশিরভাগ অর্থ স্থানান্তর স্থগিত করে দেয় তারা। তবে এর আগেই ১০ কোটি ১০ লাখ ডলারের পাঁচটি লেনদেন সম্পন্ন হয়ে গিয়েছিল।
এর মধ্যে আবার দুই কোটি ডলার পাঠানো হয় শালিকা ফাউন্ডেশন নামে একটি লঙ্কান দাতব্য প্রতিষ্ঠানে। এখানেও একটি ভুল করে হ্যাকাররা। তারা শালিকা ফাউন্ডেশনের নামের বানান ভুল করে। ফাউন্ডেশন লিখতে একটি ‘ও’ বাদ পড়ায় বন্ধ হয়ে যায় ওই লেনদেনও। অর্থাৎ হ্যাকাররা সরাতে পারে সর্বমোট ৮ কোটি ১০ লাখ ডলার। তবে বাংলাদেশের মতো যে দেশের প্রতি পাঁচজনের একজন এখনো দারিদ্র্যসীমার নিচে বসবাস করে, তাদের জন্য এই অর্থ চুরিও অনেক বড় ক্ষতি।