যে পদ্ধতিতে বাংলাদেশ ব্যাংকের রিজার্ভ চুরি করেছিল হ্যাকাররা

২০১৬ সালের ফেব্রুয়ারিতে বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ইতিমধ্যে তিন বছর পার হয়ে গেছে। আগামীকাল বুধবার নিউইয়র্কে আট কোটি ১০ লাখ ডলার খোয়ানোর মামলা করবে বাংলাদেশ ব্যাংক। ইতিমধ্যে বাংলাদেশ ব্যাংক কর্মকর্তারা সেই প্রস্তুতি শেষ করেছেন।রিজার্ভ হাতিয়ে নেয়ার ঘটনা ছিল ইতিহাসের সবচেয়ে বড় সাইবার চুরি।

ঘটনাটি ঘটেছিল আর দশজন চাকরিপ্রার্থীর মতো পাঠানো একটি ই-মেলের মাধ্যমে। প্রেরক রাসেল আহলাম একটি কভার লেটার ও একটি জীবনবৃত্তান্ত বা বায়োডাটা পাঠিয়েছেন। যাতে চাকরির জন্য সাক্ষাৎকারে ডাক পাওয়ার প্রত্যাশা ছিল। কিন্তু এটি দেখে যা মনে করা হয়েছিল, তা কিন্তু নয়। এখানে সম্ভাব্য নিয়োগকর্তা হলো বাংলাদেশের কেন্দ্রীয় ব্যাংক। আর এ ই-মেইল ছিল বহু বছর ধরে করা ব্যাপকভিত্তিক ষড়যন্ত্রের অংশ।

নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে বাংলাদেশ ব্যাংকের মার্কিন ডলার অ্যাকাউন্টে ১০০ কোটি ডলার হাতিয়ে নেয়ার ষড়যন্ত্র ছিল এ ই-মেইল।

যুক্তরাষ্ট্রে গত বছরে ক্যালিফোর্নিয়া ডিস্ট্রিক্ট কোর্টে কেন্দ্রীয় তদন্ত ব্যুরো এফবিআইয়ের একটি ফৌজদারি মামলার নথি বলছে, ২০১৪ সালের ৭ ও ৮ অক্টোবর বাংলাদেশের বিভিন্ন ব্যাংককে টার্গেট বানিয়ে আসছে হ্যাকাররা।

সনি পিকচার এন্টারটেইনমেন্টে সাইবার হামলা প্রকাশ্যে আসার আগে এবং বাংলাদেশ ব্যাংকের অর্থ চুরির বছরখানেক আগে এ ষড়যন্ত্র পাতানো হয়েছিল।

বাংলাদেশ ব্যাংকে সাইবার হামলা চালাতে ও লক্ষ্যবস্তু বানাতে চারটি গুগল অ্যাকাউন্ট ব্যবহার করা হয়েছে বলে ব্যাংকটি শনাক্ত করতে সক্ষম হয়েছে। সেগুলো হলো- [email protected], [email protected] এবং তাদের সঙ্গে সংযুক্ত দুটি ই-মেইল অ্যাড্রেস- [email protected] and [email protected]।

এসব ই-মেইল থেকে বার্তাগ্রহণ করা ইলেকট্রনিক তথ্যপ্রমাণ এবং ডিজিটাল ডিভাইস পরীক্ষা ও বিশ্লেষণসহ এফবিআইয়ের তদন্ত থেকে এসব তথ্য ব্যবহার করা হয়েছে। এই চার অ্যাড্রেস থেকে পাঠানো স্পিয়ার-ফিশিং ই-মেইলগুলো ছিল প্রায়ই একই রকম।

বাংলাদেশ ব্যাংকের অভিযোগে বলা হয়েছে- এসব ই-মেইলের ভেতর থাকা লিংকগুলো সম্ভবত ম্যালওয়্যার বহন করে নিয়ে এসেছিল। এতে বার্তাপ্রেরক প্রাথমিকভাবে বাংলাদেশ ব্যাংকের কম্পিউটার নেটওয়ার্কে ঢুকতে পেরেছিলেন।

২০১৫ সালের ২৯ জানুয়ারি বাংলাদেশ ব্যাংকের ১৬ কর্মকর্তার কাছে [email protected] ব্যবহার করে ১০টি ই-মেইল পাঠিয়েছিল হ্যাকাররা। প্রতিটি ই-মেইল বার্তায় চাকরি চাওয়া হয়েছিল। প্রতিটি ই-মেইল একটি করে লিংক ছিল- যেগুলোতে একটি জীবনবৃত্তান্ত ছিল।

২০১৫ সালের ২৩ ফেব্রুয়ারি বাংলাদেশ ব্যাংকের ১০ জনের কাছে দুটি ই-মেইল পাঠানো হয়। সব ই-মেইল বার্তা ছিল একই রকম। লিংকগুলোতে কেবল ‘Resum.zip’ দেখা যাচ্ছিল। এসব লিংকে ক্লিক করলেই এগুলো কম্পিউটারকে একই ইউআরএল কিংবা ওয়েবসাইটে নিয়ে যেত।

বাংলাদেশ ব্যাংকের তথ্য বলছে- ২০১৫ সালের ২৪ থেকে ২৯ জানুয়ারির মধ্যে [email protected] অ্যাড্রেস থেকে বাংলাদেশ ব্যাংকের অন্তত তিনটি কম্পিউটারে এসব লিংক থেকে ফাইল ডাউনলোড করার চেষ্টা করেছিল হ্যাকাররা।

তদন্ত বলছে, এসব স্পিয়ার-ফিশিং ইমেল ধারণ করা বস্তু বাংলাদেশ ব্যাংকের বার্তাগ্রহীতাদের দিয়ে ডাউনলোড করাতে সফল হয়েছিল।

২০১৫ সালের মার্চে ডাউনলোড হওয়া বস্তু বাংলাদেশ ব্যাংকের নেটওয়ার্কের মধ্যে চলে যায়। এতে নথি স্থানান্তরে সক্ষম ম্যালওয়্যার নেটওয়ার্কের মধ্যে সংরক্ষিত হয়ে যায়।

এভাবে নেটওয়ার্কের ভেতর ডটজিপ আর্কাইভ তৈরি হয়। এর মধ্যে কিছু কিছু নথি স্থানান্তরও হয়ে যায়। এটির তিনটি আইপি অ্যাড্রেস প্রোগ্রাম করা ছিল।

প্রায় বছরখানেক পর ২০১৬ সালের ২৯ জানুয়ারি প্রতারণাপূর্ণভাবে নথি স্থানান্তর হওয়ার কয়েক দিন আগে নেটওয়ার্কজুড়ে এসব বস্তু পারিপার্শ্বিক নড়াচড়া শুরু করে।

এসব নড়াচড়ার একটি ছিল বাংলাদেশ ব্যাংকের সুইফটলাইভ সিস্টেমের দিকে। এ সিস্টেম ছিল বাংলাদেশ ব্যাংকের সুইফট প্রক্রিয়াগত পরিমণ্ডলের মূল অংশ।

এটি সুইফট অ্যালায়েন্স একসেস অ্যাপলিকেশন ব্যবহার করেছে। যেটি ছিল সুইফট গ্রাহক-পরিচালিত প্রবেশপথ, যেটি অর্থনৈতিক লেনদেন নিশ্চিত করতে অন্যান্য ব্যাংক থেকে বার্তা গ্রহণ ও প্রেরণ করে। অ্যাপলিকেশনটি যখন সুইফটের বার্তা গ্রহণ করে, এটি তখন বার্তাগুলোর স্থানীয় কপিগুলো রেকর্ড করে।

যার মাধ্যমে এসব বার্তা নথিতে রূপান্তরিত করে কিংবা একটি প্রিন্টারে প্রিন্ট দিয়ে এবং একটি আলাদা তথ্যভাণ্ডারে তথ্যগুলো একত্র করা হয়।

সুইফটলাইভ সিস্টেমে বাংলাদেশ ব্যাংকের কম্পিউটার হোস্টিংয়ে যখন হ্যাকাররা ঢোকার চেষ্টা চালায়, তখন তারা অন্তত চারবার এটিতেলগ-ইনের চেষ্টা চালায়।

বাংলাদেশ ব্যাংকের সুইফটলাইভ সিস্টেমের লগ-ইন চেষ্টার কিছু প্রমাণ মুছে ফেলতেও সফল হয় তারা। কিন্তু এর পরও কিছু প্রমাণ থেকে গিয়েছিল, যা পরে ফরেনসিক পরীক্ষায় ধরা পড়েছিল।

বাংলাদেশ ব্যাংকের তিন সদস্যের একটি দল গতকাল সকালে নিউইয়র্কের উদ্দেশে ঢাকা ছেড়েছেন। কর্মকর্তাদের আশা, আগামী দুই থেকে তিন বছরের মধ্যে মামলাটির নিষ্পত্তি ঘটবে। লন্ডন থেকে একজন আইনজীবী বাংলাদেশ ব্যাংকের দলের সঙ্গে নিউইয়র্কে যোগ দেবেন।

যুক্তরাষ্ট্রের আইন অনুসারে তিন বছরের মধ্যে অর্থপাচারের মামলা করতে হয়। যদি নিউ ইয়র্কের আদালতে এটা প্রমাণিত হয় যে, এই অর্থচুরিতে বিদেশি হ্যাকররা জড়িত ছিল এবং ম্যানিলার রিজাল কমার্সিয়াল ব্যাংকিং করপোরেশন তাতে সাহায্য করেছে, তাহলে অনাবিষ্কৃত অর্থ ফেরত পাওয়া যাবে।