২০১৫ সালে বাংলাদেশ ব্যাংকের একাধিক কর্মচারীর কাছে একটি নির্দোষ ই-মেইল যায়। ই-মেইলটি করেছিলেন রাসেল আহলাম নামের একজন চাকরিপ্রার্থী। একটি ওয়েবসাইট থেকে তাঁর জীবনবৃত্তান্ত এবং কভার লেটার ডাউনলোডের জন্য একটি আমন্ত্রণ অন্তর্ভুক্ত ছিল ওই ই-মেইলে। বাস্তবে রাসেলের কোনো অস্তিত্ব ছিল না। তিনি কেবল একটি প্রচ্ছদ নাম, যা লাজারাস গ্রুপ ব্যবহার করেছিল। ২০১৬ সালে বাংলাদেশ ব্যাংকের রিজার্ভ চুরির অনেক আগে থেকে রিজার্ভ চুরির প্লট তৈরি করছিল উত্তর কোরিয়ার হ্যাকার গ্রুপ লাজারাস। আর ওই পরিকল্পনার অংশ হিসেবে বাংলাদেশ ব্যাংকের নেটওয়ার্কে ঢুকতে ভুয়া ই-মেইল পাঠিয়েছিল তারা। বাংলাদেশ ব্যাংকের কয়েকজন কর্মকর্তার কাছে ই-মেইলটি যায়। অন্তত একজন ফাঁদে পা দেন, ডাউনলোড করে ফেলেন। ই-মেইলের ভাইরাস ঢুকে পড়ে তার কম্পিউটারে। ব্যাংকের সিস্টেমে একবার ঢুকে লাজারাস গ্রুপ গোপনে কম্পিউটার থেকে কম্পিউটারে চলে যায়। ডিজিটাল ভল্ট থেকে শুরু করে যাবতীয় রিজার্ভের তথ্য নিয়ে কাজ শুরু করে। এরপর চুপ হয়ে যায়। এখন প্রশ্ন জাগতে পারে, এক বছর আগে কম্পিউটারে ঢুকে তারা কেন এত দিন বসে থাকল। আসলে অর্থ নিয়ে সরে যাওয়ার জন্য তাদের একটি নিরাপদ রুটের প্রয়োজন ছিল। যুক্তরাষ্ট্রের গোয়েন্দা সংস্থা এফবিআইয়ের তদন্তের বরাত দিয়ে সম্প্রতি বিবিসি অনলাইনের এক এক প্রতিবেদন প্রকাশের পর রিজার্ভ চুরির ঘটনাটি আবারও আলোচনায় এসেছে।
প্রতিবেদনে বলা হয়, ২০১৫ সালের মে মাসে হ্যাকাররা বাংলাদেশ ব্যাংকের সিস্টেমে ঢুকতে পারার কয়েক মাস পর ফিলিপিন্সের আরসিবিসির ব্যাংকে চারটি হিসাব খোলে। অ্যাকাউন্টগুলো খুলতে অনেক ভুয়া কাগজের আশ্রয় নিয়েছিল তারা। তবে কেন যেন বিষয়টি কারও নজরে পড়েনি। হ্যাকাররা হিসাবগুলোতে ৫০০ ডলার করে রেখেছিল। হিসাবগুলো দিয়ে কোনো লেনদেনই হয়নি। এরপর ২০১৬ সালে মূল সাইবার হামলা চালানোর আগে লাজারাস হ্যাকার গ্রুপ পুরোপুরি প্রস্তুতি নিয়ে ফেলে। তবে তাদের জন্য আরেকটি কঠিন কাজ ছিল তা হলো বাংলাদেশ ব্যাংকের ১০ তলার প্রিন্টার। বাংলাদেশ ব্যাংক তার অ্যাকাউন্ট থেকে সব ট্রান্সফার রেকর্ড করার জন্য একটি পেপার ব্যাক-আপ সিস্টেম তৈরি করেছিল, যা হ্যাকারদের কাজ তাৎক্ষণিকভাবে জেনে ফেলার একটি ঝুঁকি তৈরি করেছিল। তাই তারা প্রিন্টারের সফটওয়্যার হ্যাক করে নিয়ন্ত্রণ নিয়ে নেয়। এবার শুরু হয় আসল কাজ।
বৃহস্পতিবার রাতে নিউইয়র্ক ফেডকে ৩৫টি বার্তা পাঠিয়ে ৯৫ কোটি ১০ লাখ ডলার স্থানান্তরের আদেশ দেয়। হ্যাকারদের সব কাজই পরিকল্পনামাফিক ছিল। তবে হলিউডের সিনেমার মতো ছোট্ট একটি ভুল করে ফেলেছিল হ্যাকাররা। হ্যাকাররা এই টাকা পাঠায় আরসিবিসি ব্যাংকের জুপিটার স্ট্রিটের শাখায়। ম্যানিলায় শত শত ব্যাংক রয়েছে, যা হ্যাকাররা ব্যবহার করতে পারত, তবে তারা বেছে নিল জুপিটার স্ট্রিটের ব্যাংক শাখাকে। এমনকি এর পেছনে তাদের বহু ব্যয়ও করতে হয়েছে। ভুলটা হয় এখানেই। ফেডকে পাঠানো একটি আদেশে ব্যবহৃত ঠিকানায় ‘জুপিটার’ শব্দটি অন্তর্ভুক্ত ছিল, এটি যুক্তরাষ্ট্রের অবরোধ আরোপ করা ইরানের একটি জাহাজের নাম ছিল। তাই এই নাম এলেই অটোমেটিক সংকেত যায় ফেডে। আদেশ স্থগিত করা হয়। বেশির ভাগ লেনদেনই আর সম্পন্ন হয় না। কেবল ১০ কোটি ১০ লাখ ডলারের ৫টি লেনদেন সম্পন্ন হয়।
এর মধ্যে ২০ মিলিয়ন ডলার শালিকা ফাউন্ডেশন নামের একটি শ্রীলঙ্কার দাতব্য প্রতিষ্ঠানে স্থানান্তরিত হয়েছিল। এখানেও যে ভুলটা হয়, তা হলো শালিকা ফাউন্ডেশনের বানান ভুল হয় হ্যাকারদের। ফাউন্ডেশন বানানটি ভুল করেছিল তারা। ফলে ওই লেনদেনও বন্ধ হয়ে যায়। অর্থাৎ হ্যাকাররা সরাতে পারে ৮ কোটি ১০ লাখ ডলার।
কে এই পার্ক জিন হিয়ক
নিজেকে একজন কম্পিউটার প্রোগ্রামার হিসেবে তুলে ধরেন পার্ক জিন হিয়ক। উত্তর কোরিয়ার শীর্ষ বিশ্ববিদ্যালয়গুলোর একটি থেকে স্নাতক করেছেন তিনি। চীনা বন্দর শহর দালিয়ানে উত্তর কোরিয়ার একটি সংস্থা চোসুন এক্সপোতে কাজ করতেন। এ সংস্থা সারা বিশ্বে তাদের ক্লায়েন্টদের জন্য অনলাইন গেমিং ও জুয়ার প্রোগ্রাম তৈরি করে। দালিয়ানে থাকার সময়ই একটি ই-মেইল অ্যাড্রেস তৈরি করে জীবনবৃত্তান্ত তৈরি করেছিলেন তিনি। যোগাযোগের নেটওয়ার্ক তৈরি করতে সোশ্যাল মিডিয়া ব্যবহার করা শুরু করেন। এফবিআই জানায়, পার্ক জিন হিয়ক হলেন দিনের আলোয় প্রোগ্রামার আর রাতের অন্ধকারে দুধর্ষ হ্যাকার।
২০১৪ থেকে ২০১৭ সাল পর্যন্ত সারা বিশ্বে নানা ধরনের হ্যাকিং কর্মকাণ্ডে যুক্ত ছিলেন তিনি। ধরা পড়লে তাঁর অন্তত ২০ বছরের কারাদণ্ড হবে। তবে পার্ক কিন্তু রাতারাতি একজন হ্যাকার হয়ে ওঠেননি। তিনি উত্তর কোরিয়ার হাজার হাজার তরুণের মধ্যে একজন, যাঁকে শৈশব থেকেই সাইবারযোদ্ধা বানানোর জন্য প্রস্তুতি চলছে। প্রতিভাধর গণিতবিদেরা ১২ বছর বয়সে স্কুল থেকে তাঁকে নিয়ে এসে রাজধানীতে পাঠান। সেখানে তাঁকে সকাল থেকে রাত অবধি নিবিড় প্রশিক্ষণ দেওয়া হয়।
আবারও যাই ওই প্রিন্টারের কাছে। ব্যাংকের কর্মীরা যখন প্রিন্টারটি পুনরায় চালু করেন, তখন তাঁরা কিছু উদ্বেগজনক বিষয় লক্ষ করেন। তাঁরা বুঝতে পারেন, যুক্তরাষ্ট্রের ফেডারেল রিজার্ভে জরুরি বার্তা গেছে সেখান থেকে। বাংলাদেশ ব্যাংক থেকে প্রায় ১০০ বিলিয়ন ডলার ছাড় করতে ফেডের কাছে নির্দেশনা গেছে। বাংলাদেশ ব্যাংকের পক্ষ থেকে দ্রুত যোগাযোগের চেষ্টা করা হয়। তবে এ ক্ষেত্রে বাদ সাধে সময়টা।
হ্যাকাররা ঘটনা ঘটায় মূলত বাংলাদেশ সময় বৃহস্পতিবার রাত আটটায়, সে সময় ছিল নিউইয়র্কে বৃহস্পতিবার সকাল। অর্থাৎ বাংলাদেশে ব্যাংকিং কার্যক্রম বন্ধ ছিল, কিন্তু যুক্তরাষ্ট্রে তখন সব কার্যক্রম চলছে। অন্যদিকে, শুক্র ও শনিবার বাংলাদেশে সাপ্তাহিক ছুটি। শনিবার যখন বাংলাদেশে চুরিটি উদ্ঘাটন শুরু হয়, এর মধ্যে আবার নিউইয়র্কের সাপ্তাহিক ছুটি শুরু হয়ে যায়। এখানে হ্যাকাররা আরও একটি বুদ্ধি খাটায়। একবার যখন তারা ফেড থেকে অর্থ স্থানান্তর করতে পারে, তখন তাদের এটি অন্য কোথাও প্রেরণের প্রয়োজন ছিল। তারা এই জায়গা হিসেবে ফিলিপাইনের ম্যানিলাকে বেছে নেয়। কারণ, ২০১৬ সালের ৮ ফেব্রুয়ারি সোমবার ছিল লুনার ইয়ারের প্রথম দিন। এশিয়ায় ছুটির দিন। অর্থাৎ যুক্তরাষ্ট্র ও বাংলাদেশের ছুটি ও সময়ের ব্যবধানকে কাজে লাগিয়ে পাঁচটা দিন হাতে পেয়েছিল হ্যাকাররা। ধারণা করা হয়, কয়েক বছর ধরে এই হ্যাকিংয়ের পরিকল্পনা করেছিল লাজারাস গ্রুপ।###
মোবাইল অ্যাপস ডাউনলোড করুন
মন্তব্য করুন