যেভাবে বাংলাদেশ ব্যাংক থেকে ডলার চুরি করেছিল হ্যাকাররা

২০১৬ সালে বাংলাদেশ ব্যাংকের রিজার্ভ থেকে ১০০ কোটি মার্কিন ডলার চুরি করার চেষ্টা চালায় উত্তর কোরিয়ার হ্যাকাররা। দীর্ঘ সময় নিয়ে তারা পরিকল্পনাটি করেছিল এবং পুরো প্রক্রিয়াটিকে তারা এমনভাবে সাজিয়েছিল যাতে নির্বিঘ্নে এই বিপুল পরিমাণ অর্থ হাতিয়ে নেওয়া যায়। তবে, ছোট কিছু ভুলের কারণে বাইবেলের চরিত্র ল্যাজারাসের সঙ্গে মিলিয়ে নাম দেওয়া ‘ল্যাজারাস হাইস্ট’টি সম্পূর্ণরূপে সফল হয়নি। বিবিসির এক প্রতিবেদনে এ বিষয়ে বিস্তারিত তুলে ধরা হয়েছে।

২০১৬ সালে বাংলাদেশ ব্যাংকের রিজার্ভ থেকে ১০০ কোটি মার্কিন ডলার চুরি করার চেষ্টা চালায় উত্তর কোরিয়ার হ্যাকাররা। দীর্ঘ সময় নিয়ে তারা পরিকল্পনাটি করেছিল এবং পুরো প্রক্রিয়াটিকে তারা এমনভাবে সাজিয়েছিল যাতে নির্বিঘ্নে এই বিপুল পরিমাণ অর্থ হাতিয়ে নেওয়া যায়। তবে, ছোট কিছু ভুলের কারণে বাইবেলের চরিত্র ল্যাজারাসের সঙ্গে মিলিয়ে নাম দেওয়া ‘ল্যাজারাস হাইস্ট’টি সম্পূর্ণরূপে সফল হয়নি। বিবিসির এক প্রতিবেদনে এ বিষয়ে বিস্তারিত তুলে ধরা হয়েছে।

ওই বছরের ৫ ফেব্রুয়ারি হ্যাকারদেরকে বাংলাদেশ ব্যাংকের আট কোটি ১০ লাখ ডলার নিয়েই সন্তুষ্ট থাকতে হয় এবং পরবর্তীতে সেখান থেকে দেড় কোটি ডলার উদ্ধারও করা হয়। 

হ্যাকিংয়ের ঘটনাটি বেশ কয়েকটি পর্যায়ে সংঘটিত হয়েছিল এবং এর শুরু হয়েছিল একেবারেই প্রাথমিক পর্যায়ের একটি হ্যাকিং কৌশলের মাধ্যমে। মোটামুটি সব প্রতিষ্ঠানের আইটি বিভাগের কর্মীরা তাদের সহকর্মীদের সতর্ক করেন একটি বিষয়ে, যেটি হচ্ছে— অচেনা কারও ইমেইল থেকে পাওয়া লিংক এ ক্লিক না করা। 

২০১৫ সালের জানুয়ারিতে বাংলাদেশ ব্যাংকের বেশ কিছু কর্মকর্তার কাছে একটি ইমেইল বার্তা আসে। মেইলটি পাঠিয়েছেন রাসেল আহলাম নামক একজন চাকরিপ্রার্থী। অত্যন্ত ভদ্র ও মার্জিত ভাষায় লেখা ইমেইলে ভদ্রলোকের সিভি ও কভার লেটার ডাউনলোড করার জন্য লিংক দেওয়া ছিল। 

আদতে রাসেল নামে কোনো ব্যক্তির অস্তিত্বই নেই। অন্তত একজন কর্মকর্তা সেই লিংকে ক্লিক করেছিলেন সিভি দেখার উদ্দেশ্যে এবং এভাবেই বাংলাদেশ ব্যাংকের নেটওয়ার্কে হ্যাকাররা অনুপ্রবেশ করেন। সেই লিংক থেকে ভাইরাস ডাউনলোড হয়ে হ্যাকারদের কাছে পুরো নেটওয়ার্ককে উন্মোচিত করে দেয়।

ল্যাজারাস গ্রুপের সদস্যরা প্রায় এক বছর ধরে বাংলাদেশ ব্যাংকের সব কম্পিউটার ঘুরে ঘুরে দেখতে থাকেন। তারা এ সময় সব ধরনের ঝুঁকি বিশ্লেষণ করেন এবং কীভাবে চুরি করা অর্থকে ঝামেলাবিহীনভাবে মানি লন্ডারিংয়ের মাধ্যমে বের করে নিয়ে যাবেন, সে বিষয়ে ত্রুটিহীন কৌশলগুলো তৈরি করতে থাকেন। তারা ব্যাংকের সম্পূর্ণ ডিজিটাল ব্যবস্থার আদ্যোপান্ত জেনে নিয়েছিলেন, যার মধ্যে বহুল ব্যবহৃত ‘সুইফট’ প্রযুক্তিও অন্তর্ভুক্ত ছিল।

২০১৬ সালের ফেব্রুয়ারিতে এসে হ্যাকাররা তাদের প্রস্তুতি শেষ করে। তাদের সামনে একমাত্র বাঁধা হয়ে দাড়ায় বাংলাদেশ ব্যাংকের প্রায় সম্পূর্ণ ডিজিটাল নেটওয়ার্কের মধ্যে একমাত্র অ্যানালগ উপকরণ— কেন্দ্রীয় ব্যাংক ভবনের দশম তলায় রাখা একটি প্রিন্টার। এ প্রিন্টারটি রাখা হয়েছিল ব্যাংকের সব লেনদেনের হিসাব কাগজে সংরক্ষণের উদ্দেশ্যে। হ্যাকাররা টাকা সরিয়ে নেওয়ার সঙ্গে সঙ্গে এই প্রিন্টারটি থেকে স্বয়ংক্রিয়ভাবে তাদের কীর্তিকলাপের বিস্তারিত প্রিন্ট হয়ে বের হয়ে আসত। এ কারণে প্রথমেই তারা এটিকে অকেজো করে দেন।

বাংলাদেশ ব্যাংকের কর্মীরা বিকল প্রিন্টারের বিষয়টি লক্ষ্য করলেও ‘আইটি যন্ত্রপাতি প্রায়ই অকেজো হয়’ ভেবে এ ঘটনাটিকে একেবারেই পাত্তা দেননি।

ইতোমধ্যে হ্যাকাররা ৩৫টি ট্রান্সফারের মাধ্যমে প্রায় ৯৫ কোটি ১০ লাখ ডলার চারটি ভুয়া অ্যাকাউন্টে পাঠানোর নির্দেশটি দিয়ে দেয়। বাংলাদেশ ব্যাংক নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে যে পরিমাণ অর্থ জমা রেখেছিলেন, তার প্রায় পুরোটাই হ্যাকাররা সরিয়ে ফেলার চেষ্টা চালিয়েছিলেন। কিন্তু, এক্ষেত্রে হ্যাকারদের ছোট, কিন্তু গুরুত্বপূর্ণ কিছু ভুলের কারণে তারা পুরো টাকাটি সরাতে পারেনি।

ফেডারেল রিজার্ভ ব্যাংক বাংলাদেশ ব্যাংকের টাকা স্থানান্তরের অনুরোধটির (যেটি আসলে হ্যাকারদের করা) সঙ্গে সঙ্গে অনুমোদন দেয়নি। কারণ টাকার গন্তব্য হিসেবে ফিলিপাইনের ‘জুপিটার’ এলাকার একটি ব্যাংকের নাম দেওয়া ছিল। জুপিটার শব্দটি তাদেরকে সতর্ক করে দেয়। কারণ, এই নামে একটি ইরানি জাহাজ ছিল, যেটির ওপর মার্কিন নিষেধাজ্ঞা ছিল।

মার্কিন কংগ্রেস সদস্য ক্যারোলিন ম্যালোনি বিবিসির কাছে ঘটনাটির বিস্তারিত বর্ণনা দেন। জুপিটার শব্দটি লক্ষ্য করার পর ফেডারেল রিজার্ভ ব্যাংক ৩৪টি ট্রান্সফারের মধ্যে ২৯টিই আটকে দেয়। কিন্তু, ইতোমধ্যে পাঁচটি ট্রান্সফারের মাধ্যমে প্রায় ১০ কোটি ১০ লাখ ডলার পাচার হয়ে গিয়েছিল।

একটি ট্রান্সফার করা হয়েছিল শ্রীলঙ্কার ‘শালিকা ফাউন্ডেশন’ নামক একটি দাতব্য প্রতিষ্ঠানের কাছে, যার পরিমাণ ছিল দুই কোটি ডলার। কিন্তু, সেখানেও হ্যাকাররা ফাউন্ডেশনের ইংরেজি বানানে ভুল করায় শব্দটি ‘ফান্ডেশন’ হয়ে যায় এবং একজন ব্যাকরণপ্রেমী কর্মকর্তা এই ট্রান্সফারটিকেও আটকে দেন।

শেষ পর্যন্ত হ্যাকারদের কিছু ভুল এবং দৈবক্রমে আট কোটি ১০ লাখ ডলারের বেশি অর্থ হ্যাকাররা সরাতে পারেনি। অল্পের জন্য বাংলাদেশ বেঁচে যায় ১০০ কোটি ডলারের রিজার্ভ হারানোর হাত থেকে।

পরবর্তীতে মৃত্যুকে জয় করে ফিরে আসা বাইবেলের ‘ল্যাজারাস’ চরিত্রটির সঙ্গে সমার্থক এই হ্যাকিংয়ের মূল হোতা হিসেবে উত্তর কোরিয়ার হ্যাকার পার্ক জিন হিয়কের নাম জানা যায়।

পার্ক জিন হিয়কের বিরুদ্ধে ২০১৬ সালে বাংলাদেশ ব্যাংকের ৮১ মিলিয়ন ডলার রিজার্ভ চুরির সঙ্গে জড়িত থাকার কথা বলা হয়েছে। এ ছাড়াও, তার বিরুদ্ধে ২০১৪ সালে সনি পিকচারস হ্যাক করার অভিযোগও রয়েছে।

Comments

The Daily Star  | English
fire incident in dhaka bailey road

Fire Safety in High-Rise: Owners exploit legal loopholes

Many building owners do not comply with fire safety regulations, taking advantage of conflicting legal definitions of high-rise buildings, according to urban experts.

4h ago