 / অর্থনীতি / বাণিজ্য / রিজার্ভ ‘ডাকাতিতে’ নাম আসা রিয়াজ, জুবায়ের ও সালেহীন কে, তাদের কী কাজ ছিল?
রিজার্ভ ‘ডাকাতিতে’ নাম আসা রিয়াজ, জুবায়ের ও সালেহীন কে, তাদের কী কাজ ছিল?
নতুন বার্তা, ঢাকা:
Published : Friday, 3 January, 2025 at 2:07 PM
|
 ২০১৬ সালের ফেব্রুয়ারিতে রিজার্ভ হাতিয়ে নেওয়ার ঘটনা ছিল ইতিহাসের সবচেয়ে বড় সাইবার ‘ডাকাতি’। যুক্তরাষ্ট্রের ক্যালিফোর্নিয়া ডিস্ট্রিক্ট কোর্টে কেন্দ্রীয় তদন্ত ব্যুরো এফবিআইয়ের একটি ফৌজদারি মামলার নথি বলছে, ২০১৪ সালের ৭ ও ৮ অক্টোবর বাংলাদেশের বিভিন্ন ব্যাংককে টার্গেট বানিয়ে আসছে হ্যাকাররা। বাংলাদেশ ব্যাংকে সাইবার হামলা চালাতে ও লক্ষ্যবস্তু বানাতে চারটি গুগল অ্যাকাউন্ট ব্যবহার করা হয়েছে বলে ব্যাংকটি শনাক্ত করতে পারে। সেগুলো হলো- watsonhenny@gmail.com, yardgen@gmail.com এবং তাদের সঙ্গে সংযুক্ত দুটি ই-মেইল অ্যাড্রেস- rasel.aflam@gmail.com and rsaflam8808@gmail.com। ২০১৫ সালের ২৯ জানুয়ারি বাংলাদেশ ব্যাংকের ১৬ কর্মকর্তার কাছে yardgen@gmail.com ব্যবহার করে ১০টি ই-মেইল পাঠিয়েছিল হ্যাকাররা। প্রতিটি ই-মেইল বার্তায় চাকরি চাওয়া হয়েছিল। প্রতিটি ই-মেইল একটি করে লিংক ছিল- যেগুলোতে একটি জীবনবৃত্তান্ত ছিল। ২০১৫ সালের ২৩ ফেব্রুয়ারি বাংলাদেশ ব্যাংকের ১০ জনের কাছে দুটি ই-মেইল পাঠানো হয়। সব ই-মেইল বার্তা ছিল একই রকম। লিংকগুলোতে কেবল ‘Resum.zip’ দেখা যাচ্ছিল। এসব লিংকে ক্লিক করলেই এগুলো কম্পিউটারকে একই ইউআরএল কিংবা ওয়েবসাইটে নিয়ে যেত। বাংলাদেশ ব্যাংকের তথ্য থেকে জানা যায়, ২০১৫ সালের ২৪ থেকে ২৯ জানুয়ারির মধ্যে yardgen@gmail.com অ্যাড্রেস থেকে বাংলাদেশ ব্যাংকের অন্তত তিনটি কম্পিউটারে এসব লিংক থেকে ফাইল ডাউনলোড হওয়ার চেষ্টা করেছিল। তদন্ত বলছে, এসব স্পিয়ার-ফিশিং ইমেল ধারণ করা বস্তু বাংলাদেশ ব্যাংকের বার্তাগ্রহীতাদের দিয়ে ডাউনলোড করাতে সফল হয়েছিল। ২০১৫ সালের মার্চে ডাউনলোড হওয়া বস্তু বাংলাদেশ ব্যাংকের নেটওয়ার্কের মধ্যে চলে যায়। এতে নথি স্থানান্তরে সক্ষম ম্যালওয়্যার নেটওয়ার্কের মধ্যে সংরক্ষিত হয়ে যায়। এভাবে নেটওয়ার্কের ভেতর ডটজিপ আর্কাইভ তৈরি হয়ে যায়। এর মধ্যে কিছু কিছু নথি স্থানান্তর কার্যকর হয়ে যায়। এটির তিনটি আইপি অ্যাড্রেস প্রোগ্রাম করা ছিল। প্রায় বছরখানেক পর ২০১৬ সালের ২৯ জানুয়ারি প্রতারণাপূর্ণভাবে নথি স্থানান্তর হওয়ার কয়েক দিন আগে নেটওয়ার্কজুড়ে এসব বস্তু পারিপার্শ্বিক নড়াচড়া শুরু করে। এসব নড়াচড়ার একটি ছিল বাংলাদেশ ব্যাংকের সুইফটলাইভ সিস্টেমের দিকে। এ সিস্টেম ছিল বাংলাদেশ ব্যাংকের সুইফট প্রক্রিয়াগত পরিমণ্ডলের মূল অংশ। এটি সুইফট অ্যালায়েন্স একসেস অ্যাপলিকেশন ব্যবহার করেছে। যেটি ছিল সুইফট গ্রাহক-পরিচালিত প্রবেশপথ, যেটি অর্থনৈতিক লেনদেন নিশ্চিত করতে অন্যান্য ব্যাংক থেকে বার্তা গ্রহণ ও প্রেরণ করে। অ্যাপলিকেশনটি যখন সুইফটের বার্তা গ্রহণ করে, এটি তখন বার্তাগুলোর স্থানীয় কপিগুলো রেকর্ড করে। যার মাধ্যমে এসব বার্তা নথিতে রূপান্তরিত করে কিংবা একটি প্রিন্টারে প্রিন্ট দিয়ে এবং একটি আলাদা তথ্যভাণ্ডারে তথ্যগুলো একত্র করা হয়। সুইফটলাইভ সিস্টেমে বাংলাদেশ ব্যাংকের কম্পিউটার হোস্টিংয়ে যখন হ্যাকাররা ঢোকার চেষ্টা চালায়, তখন তারা অন্তত চারবার এটি লগ-ইনের চেষ্টা চালায়। বাংলাদেশ ব্যাংকের সুইফটলাইভ সিস্টেমের লগ-ইন চেষ্টার কিছু প্রমাণ মুছে ফেলতেও সফল হয় তারা। কিন্তু এর পরও কিছু প্রমাণ থেকে গিয়েছিল, যা পরে ফরেনসিক পরীক্ষায় ধরা পড়েছিল। আন্তর্জাতিক হ্যাকারদের মাধ্যমে ২০১৬ সালের ৪ ফেব্রুয়ারি রাতের আঁধারে বাংলাদেশ ব্যাংকের ফেডারেল রিজার্ভ অ্যাকাউন্ট হ্যাক করে ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ মার্কিন ডলার ‘লুট’ করা হয়। উদ্দেশ্যপ্রণোদিতভাবে রিজার্ভ হাতিয়ে নেওয়ার পুরো বিষয়টি ২৪৪ দিন গোপন রাখেন তৎকালীন গভর্নর ড. আতিউর রহমান। হ্যাকিংয়ের ২৫ দিন পর ম্যানিলার দ্য ইনকোয়ারার পত্রিকার খবরে হ্যাকিংয়ের মাধ্যমে লোপাটের তথ্য জানতে পারে বাংলাদশের মানুষ। বাংলাদেশ ব্যাংকের সাবেক গভর্নর ড. মোহাম্মদ ফরাসউদ্দিনের নেতৃত্বে গঠিত উচ্চপর্যায়ের তদন্ত কমিটির ৬১ পৃষ্ঠার প্রতিবেদনে উল্লিখিত সব বিষয় তুলে ধরা হয়। প্রতিবেদনের পূর্ণাঙ্গ কপি এখন যুগান্তরের হাতে। এর আগে ২০১৯ সালের ১৪ জানুয়ারি তদন্ত কমিটির প্রতিবেদনের অংশবিশেষ নিয়ে যুগান্তর একটি বিশেষ প্রতিবেদন করলে এ প্রতিবেদকসহ যুগান্তর-যমুনা কর্তৃপক্ষের ওপর রাষ্ট্রীয় হয়রানি নেমে আসে। যদিও তৎকালীন অর্থমন্ত্রী আবুল মাল আবদুল মুহিত একাধিকবার বলেছিলেন, রিজার্ভ চুরির তদন্ত রিপোর্ট জনগণকে অবহিত করা হবে। কিন্তু পরে তা গোপন করা হয়। সম্প্রতি দুর্নীতি দমন কমিশন (দুদক) থেকে রিজার্ভ চুরির ঘটনা তদন্তের জন্য উদ্যোগ নেওয়া হয়। বিষয়টি নিশ্চিত করেছেন সংস্থাটির চেয়ারম্যান ড. এমএ মোমেন। বাংলাদেশ ব্যাংকের রিজার্ভ থেকে হাতিয়ে নেওয়া অর্থ থেকে ১৮ মিলিয়ন ডলার উদ্ধার করা হলেও বাকি বিশাল অঙ্কের অর্থ এখনো বেহাত। প্রতিবেদনে বাংলাদেশ ব্যাংকের গভর্নরসহ জড়িত কর্মকর্তাদের সম্পৃক্ততার বিষয়টি তুলে ধরে তাদের বিরুদ্ধে ফৌজদারি দায় আনার বিষয়ে মতামত ব্যক্ত করেন। এতে বেশকিছু সুপারিশও করা হয়। কীভাবে ভবিষ্যতে এ ধরনের ঘটনা রোধ করা যাবে, এ বিষয়ে পরামর্শ দেওয়া হয়। প্রতিবেদনে বলা হয়, বাংলাদেশ ব্যাংকের অ্যাকাউন্টস অ্যান্ড বাজেটিং ডিপার্টমেন্টের (এবিডি) ডিলিং রুমের ব্যাক অফিস থেকে সহকারী পরিচালক শেখ রিয়াজ উদ্দিন (সুইফট বার্তার মাধ্যমে ফান্ড ট্রান্সফারের ক্ষমতাপ্রাপ্ত আটজনের একজন) ২০১৬ সালের ৪ ফেব্রুয়ারি সন্ধ্যা সোয়া ৭টায় সার্ভার লগআউট করেন। কিন্তু এর আগে প্রচলিত নিয়ম অনুসারে ১৮টি সুইফট বার্তার মাধ্যমে ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্ক (এফআরবিএনওয়াই) ৩১ কোটি ৯৭ লাখ ১ হাজার ২০১ মার্কিন ডলার পেমেন্ট ইনস্ট্রাকশন দেন। এ থেকে দেখা যায়, মানি মার্কেটে বিনিয়োগের জন্য প্রতিটি মার্কিন ডলার মূল্যমানের চারটি খুব বড় মাপের ফান্ড স্থানান্তরের জন্য সুইফট বার্তা শেখ রিয়াজ উদ্দিন প্রেরণ করেছিলেন। সন্ধ্যা সোয়া ৭টায় লগআউট করে শেখ রিয়াজ উদ্দিন ৮টা ৩ মিনিটে অফিস ত্যাগ করেন। এরপর কে বা কারা শেখ রিয়াজ উদ্দিনের ইউজার নেম ও পাসওয়ার্ড ব্যবহার করে ৪ ফেব্রুয়ারি রাত ৮টা ৩৬ মিনিট থেকে ৫ ফেব্রুয়ারি ভোর ৩টা ৫৯ মিনিট পর্যন্ত ফেডারেল রিজার্ভ ব্যাংককে ৩৫টি অননুমোদিত সুইফট বার্তা পাঠান। এর মাধ্যমে চারজন ব্যক্তি বেনিফিশিয়ারির কাছে বিভিন্ন ইন্টারমিডিয়ারি ব্যাংক দিয়ে মোট ৯৫ কোটি ১০ লাখ ৬ হাজার ৮৮৬ মর্কিন ডলারের বৈদেশিক মুদ্রা স্থানান্তরের আদেশ দেন। ফেডারেল রিজার্ভ ব্যাংক ও বাংলাদেশ ব্যাংকের স্টপ পেমেন্ট বার্তা তাদের হাতে গেলেও ফিলিপাইনের আরসিবিসি (ব্যাংক) মাকাতি শাখা ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ মার্কিন ডলার চারজন ব্যক্তি প্রাপকের প্রশ্নবিদ্ধ ভুয়া ব্যাংক অ্যাকাউন্টে পাঠায়। পরে সে অর্থ ক্যাসিনো ও জাঙ্ক অপারেটরদের হাতে চলে যায়। অর্থাৎ নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকের মনে সন্দেহ জাগা সত্ত্বেও পাঁচটি অননুমোদিত সুইফট বার্তার পেমেন্ট ইনস্ট্রাকশন তামিল করা হয়। ম্যানিলার আরসিবিসি (ব্যাংক) স্টপ পেমেন্ট অগ্রাহ্য করে তা বাস্তবায়ন করে ফেলে। তখন সুইফট লাইভ সার্ভারে দূরবর্তী কোনো টার্মিনাল থেকে সংযোগ করতে পারার ঘটনা সাইবার দস্যুরা পর্যবেক্ষণ করেছিল। বাংলাদেশ ব্যাংকের রিজার্ভ থেকে অনুমোদিতভাবে পেমেন্ট ইনস্ট্রাকশন ইস্যু করার ফলে অর্থ লুটের ঘটনায় অধস্তন কর্মকর্তারা গভর্নরকে থানায় জেনারেল ডায়েরি (জিডি) করতে অনুরোধ করলেও তিনি গ্রাহ্য করেননি। গভর্নর যুক্তি দেখান, জিডি করলে আমাদের কর্মকর্তারা হয়রানির মধ্যে পড়বেন। জিডির কপি সংযুক্ত করে অর্থ মন্ত্রণালয়ে প্রধানমন্ত্রীর কার্যালয়ে জানানোর কথা বললে গভর্নর বলেছিলেন, ‘অর্থমন্ত্রী কোথায় কী বলে ফেলেন ঠিক নেই।’ এ সম্পর্কে গভর্নর আতিউর রহমানের প্রতিক্রিয়া জানার সুযোগ পায়নি তদন্ত কমিটি। প্রতিবেদনে বলা হয়, ৪ ফেব্রুয়ারি ফেডারেল রিজার্ভ ব্যাংকে রক্ষিত বাংলাদেশের জনগণের সম্পত্তি বৈদশিক মুদ্রায় রিজার্ভ থেকে প্রায় এক বিলিয়ন ডলার অবৈধভাবে স্থানান্তর তথা ‘ডাকাতিতে’ অপারগ হলেও ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ ডলার চুরি করে আরসিবিসি ম্যানিলায় চারটি ভুয়া অ্যাকাউন্টে পাঠিয়ে দেয় দুষ্কৃতকারী-ষড়যন্ত্রকারী মহল। একজন বিদেশি কর্তৃপক্ষীয় লোকের পরামর্শ এবং অনিশ্চিত আশ্বাসের ভিত্তিতে সাবেক গভর্নর দেশীয় কোনো আইনানুগ কর্তৃপক্ষকে বিষয়টি ১ মার্চ পর্যন্ত না জানানোর সিদ্ধান্ত নেন। এমনকি বাংলাদেশ ব্যাংকের পরিচালনা পর্ষদকেও জানানোর প্রয়োজন মনে করেননি। তবে ওই বছর (২০১৬) ২৯ ফেব্রুয়ারি ম্যানিলার দ্য ইনকোয়ারার পত্রিকার মাধ্যমে দেশের কর্তৃপক্ষ, দেশবাসী ও অন্যরা দুনিয়া কাঁপানো কেন্দ্রীয় ব্যাংকের রিজার্ভ থেকে হ্যাক করে নেওয়া অর্থের বিষয়টি জানতে পারে। সাইবার অপরাধীরা ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ মার্কিন ডলার লোপাট করেছে, এ ঘটনা সম্পর্কে দেশের মানুষ অবগত হয়। বাংলাদেশ ব্যাংকের রহস্যজনক আরটিজিএস প্রকল্পের বিষয়ে প্রতিবেদনে গুরুত্বপূর্ণ তথ্য তুলে ধরা হয়। বলা হয়, স্থানীয়ভাবে আদান-প্রদানের জন্য ব্যবহৃত আরটিজিএস-এর নিরাপত্তা সুরক্ষা সংবলিত বৈদেশিক মুদ্রা লেনদেনে সুইফট সিস্টেমের সঙ্গে বাংলাদেশ ব্যাংকের প্রায় পাঁচ হাজার কম্পিউটার এবং এমটিবি, ব্র্যাক ব্যাংক ও সিটিএন-এর কয়েক হাজার কম্পিউটারের লোকাল এরিয়া নেটওয়ার্ক (এলএএন) করা; এমনকি কোনো বিশেষজ্ঞ মতামত না নিয়ে সংযুক্তিটি মোটেই ঠিক হয়নি। ভিপিএন-এর সঙ্গে সুইফটের সহযাত্রায় এন্টিভাইরাসকে মূলোৎপাটন করা এবং সুইফট সার্ভার সব সময় খোলা রাখার বিষয়টি ছিল স্পর্শকাতর। বাংলাদেশ ব্যাংকের অন্তত দুজন কর্মকর্তা ৪ ফেব্রুয়ারি রাতে রিজার্ভের ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ মার্কিন ডলার ডাকাতির ক্রাইমটি সংঘটিত হওয়ার পথ প্রশস্ত করেছেন বলে যথেষ্ট তথ্যপ্রমাণ রয়েছে। সুইফট কর্তৃক বাংলাদেশ ব্যাংক ও আরটিজিএস-এর সঙ্গে সুইফট সংযোগ হস্তান্তর বুঝিয়ে দেওয়ার নামে মি. নীলাভান্নন নামে একজনের বিরুদ্ধে সন্দেহজনক মিশন শুরু হয়। যার মধ্যে বাংলাদেশ ব্যাংকের সংশ্লিষ্ট শাখার কর্মকর্তা জুবায়ের বিন হুদা ও সালেহীনের ইউজার আইডি ও পাসওয়ার্ড ব্যবহার করে সিস্টেমে কাজ করার সময় মাঝেমধ্যে একা, ফিঙ্গার স্ট্রোক, পাসওয়ার্ড ও অন্যান্য গুরুত্বপূর্ণ সংকেত জেনে যাওয়া সম্ভব ছিল। ৪ ফেব্রুয়ারি বৃহস্পতিবার ঢাকায় রাত। নিউইয়র্কে সকাল (যখন ঢাকায় সাপ্তাহিক ছুটি শুরু হয়ে গেছে) এবং ৬, ৭ ও ৮ ফেব্রুয়ারি ম্যানিলায় সম্প্রসারিত ছুটির সুযোগে চাঞ্চল্যকর অপরাধটি ঘটানো যাবে-এমন সুযোগটি কাজে লাগানো হয়। বাংলাদেশ ব্যাংকের ব্যাক অফিস অপরাধীদের কাজের সুবিধা করে দিয়েছে। প্রতিবেদনে বলা হয়, ২০১৫ সালের অক্টোবর থেকেই সাইবার অপরাধীদের প্রস্তুতি নেওয়ার বার্তা ও সুযোগ করে দেওয়া হয়। ২০১৬ সালের ১৯ বা ২০ জানুয়ারি সুইফট সিস্টেমে একটি ম্যালওয়ার ঢুকিয়ে দেওয়া হয়, যেটি শুধু বাংলাদেশ ব্যাংকের রিজার্ভ চুরিতে ইউজার আইডি ও পাসওয়ার্ড কপি করে নিতে উৎসাহিত করেছে। আর সেটিই ৪ ফেব্রুয়ারি গভীর রাতে ৩৫টি অননুমোদিত বার্তার মাধ্যমে ফেডারেল রিজার্ভ ব্যাংককে ফান্ড স্থানান্তরে সহায়তা করেছে। ২০১৬ সালের ফেব্রুয়ারির শুরুতে যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংকে রক্ষিত বাংলাদেশ ব্যাংকের বৈদেশিক মুদ্রার রিজার্ভ থেকে অননুমোদিত সুইফট বার্তার মাধ্যমে ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ মার্কিন ডলার আরসিবিসির মাধ্যমে চুরি হয়ে যাওয়ার দায় সুইফট অস্বীকার করতে পারবে না। বাংলাদেশ ব্যাংকের আরটিজিএস-এর সঙ্গে সুইফটের নেটওয়ার্কের ফলে নেটওয়ার্কের যে কোনো কম্পিউটার থেকেই ইতঃপূর্বে ম্যালওয়ারের মাধ্যমে হ্যাক হওয়া কর্মকর্তা রিয়াজ উদ্দিনের পাসওয়ার্ড ও ইউজার আইডি দিয়ে ওই অবৈধ বার্তাগুলো পাঠানো হয় বলেই মনে হচ্ছে। ৪ ফেব্রুয়ারি অননুমোদিত বার্তাগুলোও মুছে ফেলা হয়। সেজন্যই সেগুলো সুইফট উদ্ধার করতে পারেনি। ৩ ফেব্রুয়ারি কর্মকর্তা সালেহীনের ল্যাপটপ লগবার্তাগুলো মুছে ফেলা, ৪ ফেব্রুয়ারি রাত ৮টা ৩৬ মিনিটে অথবা ১টা ২০ মিনিটে ৩৫টি অননুমোদিত বার্তায় ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্ককে পেমেন্ট ইনস্ট্রাকশন পাঠানো এবং ৫ ফেব্রুয়ারি ভোর ৪টা ২৩ মিনিটে সুইফট সার্ভার থেকে লগআউট করা-এসব ঘটনা যখন সংঘটিত হয়, তখন ডেপুটি ডাইরেক্টর মুখলেসুর রহমান ডেটা সেন্টারে উপস্থিত ছিলেন বলে প্রতিবেদনে বলা হয়। এতে আরও বলা হয়, ৪ ফেব্রুয়ারি বৃহস্পতিবার সকাল ১০টা ৩৬ মিনিট থেকে সন্ধ্যা ৫টা ৫৯ মিনিট পর্যন্ত ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্ক বাংলাদেশ ব্যাংকের রিজার্ভ থেকে সুইফটের মাধ্যমে ৩৫টি পেমেন্টের ইনস্ট্রাকশন পায়। আপাত মনে হতে পারে, তা অথরাইজড ব্যক্তির কাছ থেকে এসেছে। আসলে তা নয়। প্রথমে ১২টি এবং এর পরপরই ১২টিসহ ৩৫টি বার্তায় রিজার্ভ থেকে ফান্ড ট্রান্সফারের অনুরোধ করা হয়। এ সম্পর্কে ফেডারেল রিজার্ভ ব্যাংকের সন্দেহ জাগে। তারা ফান্ড ট্রান্সফার বন্ধ করে বাংলাদেশের কাছে বেনিফিশিয়ারির বিষয়ে অধিকতর তথ্য ও ব্যাখ্যা চায়। কারণ, ৩৫টি পেমেন্ট ইনস্ট্রাকশন ছিল ব্যক্তির নামে। এর আগের এক বছরে বাংলাদেশ ব্যাংক থেকে যেসব বার্তায় ফান্ড ট্রান্সফারের অনুরোধ গেছে, এর গড় হচ্ছে এক মিলিয়ন ডলার। আর আলোচ্য ৩৫টি বার্তায় বিপুল অর্থ ট্রান্সফারের অনুরোধ করা হয়, যা গড়ে সাড়ে নয় মিলিয়ন ডলারের। পরে ফেডারেল রিজার্ভ ব্যাংক বাংলাদেশ ব্যাংকের পাঁচটি সুইফট বার্তায় ফান্ড লেনদেন স্থানান্তর করে দেয়। |
