রিজার্ভ চুরি : অভ্যন্তরীণ সাহায্যের বিস্তারিত পুলিশের কাছে
নিউ ইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে সঞ্চিত বাংলাদেশ ব্যাংকের রিজার্ভের অর্থ চুরির ঘটনার ঊর্ধ্বতন এক তদন্ত কর্মকর্তা বাংলাদেশের কেন্দ্রীয় ব্যাংকেরই কয়েকজন আইটি টেকনিশিয়ানের দিকে নজর দিচ্ছেন। এই কর্মকর্তার ধারণা, এই টেকনিশিয়ানরাই লেনদেন ব্যবস্থাকে (ট্রানজেকশন সিস্টেম) পাবলিক ইন্টারনেটে যুক্ত করেন; যার ফলে ট্রানজেকশন সিস্টেমে ঢুকতে পারে হ্যাকাররা।
বৃহস্পতিবার রয়টার্সে প্রকাশিত এক প্রতিবেদনে এসব বলা হয়েছে।
চলতি মাসে কয়েক দফা সাক্ষাৎকারে পুলিশের উপমহাপরিদর্শক মোহাম্মদ শাহ আলম রয়টার্সকে কিছুটা বিস্তারিতভাবে বলেছেন যে, কিভাবে বাংলাদেশ ব্যাংকের অভ্যন্তরীণ কারো সাহায্যের মাধ্যমে বিশ্বের সবেচেয় বড় এই সাইবার চুরির ঘটনাটি বাস্তবায়িত হয়।
উদাহরণস্বরুপ শাহ আলম বলছেন- তিনি এখন নজর দিচ্ছেন, কেন বাংলাদেশে সুইফটের ইন্টারন্যাশনাল ট্রানজেকশন নেটওয়ার্কের পাসওয়ার্ড টোকেনটি কয়েকমাস সুইফট সার্ভারে পড়ে ছিল। যেখানে প্রতিদিন কাজের পরে তা নির্দিষ্ট ভল্টে রাখার কথা।
আর এই পাসওয়ার্ড টোকেন না খোলার কারণেই হ্যাকাররা এমন সময় সিস্টেমে ঢুকতে পারে যখন সেখানে কারো নজর ছিল না। হ্যাকাররা প্রথমে ম্যালওয়্যার ছড়ায়, পরে সেখানে ভুয়া অর্থ স্থানান্তরের (ট্রান্সফার অর্ডার) নির্দেশ পাঠায়।
এরআগে বাংলাদেশ ব্যাংকের সাবেক গভর্নর ও রিজার্ভ চুরির ঘটনায় গঠিত তদন্ত কমিটির প্রধান মোহাম্মদ ফরাসউদ্দিন রয়টার্সকেই এক সাক্ষাৎকারে বলেছিলেন, এই ঘটনায় বাংলাদেশ ব্যাংকের পাঁচ কর্মকর্তার অবহেলা ও অসতর্কতার প্রমাণ পেয়েছে।
তবে ওই কর্মকর্তাদের আর কোনো দায় থাকার কথা বলা হয়নি।
শাহ আলম রয়টার্সকে যেসব তথ্য দিয়েছেন তারা নিজেরা তার সত্যতা যাচাই করতে পারেনি। ঘটনায় জড়িত কারো নামও প্রকাশ করেননি শাহ আলম।
এই ঘটনায় এখনো কেউ গ্রেফতার হননি, নিজের দাবির পক্ষে রয়টার্সকে কোনো প্রমাণও দেননি পুলিশের এই কর্মকর্তা।
তবে রিজার্ভ চুরিতে জড়িত বাংলাদেশ ব্যাংকের অভ্যন্তরীণ চক্রকে শনাক্ত করা হয়েছে বলে গত ৯ ডিসেম্বর জাগো নিউজকে বলেছিলেন শাহ আলম।
বাংলাদেশ ব্যাংকের মুখপাত্র শুভঙ্কর সাহাও বিষয়টি নিয়ে কোনো মন্তব্য করেননি বলে জানিয়েছে রয়টার্স। এই ব্যাংকের কোনো কর্মকর্তাকে গ্রেফতার কোনো পরিকল্পনার কথাও তাদের জানা নেই বলেও উল্লেখ করেছেন শুভঙ্কর।
এই চুরির ঘটনার তদন্তের সঙ্গে জড়িত সংস্থাগুলোর একটি যুক্তরাষ্ট্রের ফেডারেল ব্যুরো অব ইনভেস্টিগেশন (এফবিআই)। শাহ আলমের দাবির বিষয়ে তারাও কোনো মন্তব্য করেনি। ইন্টারপোলের বক্তব্য নিতে পারেনি রয়টার্স।
এছাড়া সুইফটের একজন মুখপাত্র বিষয়টি নিয়ে কোনো মন্তব্য করতে রাজি হননি।
ইতিহাসের সবেচেয় বড় এই সাইবার চুরির ঘটনার পর প্রায় ১১ মাস কেটে গেলেও ঘটনার তদন্তের সঙ্গে জড়িত ৬টি সংস্থার কেউ-ই রহস্যের কোনো কূলকিনারা করতে পারেনি।
শাহ আলম রয়টার্সকে বলেছেন, বাংলাদেশের কেন্দ্রীয় ব্যাংকের সন্দেহভাজন কাউকে গ্রেফতার করা হয়নি কারণ তদন্ত এখনো অসম্পূর্ণ। তাদের নজরদারিতে রাখা হয়েছে এবং তাদের গতিবিধিও পর্যবেক্ষণ করা হচ্ছে। কিন্তু হ্যাকারদের সঙ্গে তাদের কোনো যোগাযোগ কখনো হয়েছে বা যারা এই টাকা আত্মসাৎ করেছেন তাদের সঙ্গে ব্যাংকের কোনো কর্মকর্তার কখনো যোগাযোগ হয়েছে, সুনির্দিষ্ট এমন কোনো তথ্য এখনো কোথাও পাওয়া যায়নি।
তিনি আরো বলেছেন, ফিলিপাইন, জাপান, শ্রীলঙ্কা এবং চীনে হ্যাকারদের কোনো লিংক থাকতে পারে- এমন সন্দেহে এসব দেশের পুলিশের কাছে সাহায্য চাওয়া হয়েছে।
‘সুইফটের দায়’
বাংলাদেশ পুলিশ এর আগে সুইফটের কিছু কন্ট্র্যাক্টরকে দায়ী করেছিল, তাদের কম্পিটার সিস্টেম অরক্ষিত হওয়ার জন্য। তবে এই অভিযোগ অস্বীকার করে আসছে প্রতিষ্ঠানটি।
শাহ আলম বলছেন, এখন তদন্তে দেখা যাচ্ছে, সেন্ট্রাল ব্যাংকের আইটি টিকনিশিয়ানরাই ভেতর থেকে সাহায্য করেছিলেন। এর কোনো প্রমাণ আছে কি না জানতে চাইলে তিনি বলেন, এখানে বেশি কিছু বিষয় রয়েছে, যেগুলো বাংলাদেশের কেউ যদি না করে থাকেন, তবে এই চুরি সম্ভব হতো না।
শাহ আলম বলছেন, তিনি বিশ্বাস করেন বাংলাদেশের কেন্দ্রীয় ব্যাংকের সুইফট নেটওয়ার্ক গত বছরে ব্যাংকের আভ্যন্তরীণ পেমেন্ট সিস্টেমে (আরটিজিএস) যুক্ত করার সময় পাবলিক ইন্টারনেটে যুক্ত করা হয়। সুইফট কেবল আন্তর্জাতিক লেনদেনের ক্ষেতে ব্যবহৃত হয়।
এরফলে বাইরের যেকোনো কম্পিউটার থেকে এই নেটওয়ার্কে ঢুকে পড়া সম্ভব হয়।
শাহ আলম এবং একজন ব্যাংক কর্মকর্তা বলেছেন, সুইফট এবং আরটিজিএসের মধ্যে সংযোগ স্থাপনের কাজটির দায়িত্বে ছিল সুইফটের কন্ট্র্যাক্টররা। তবে শেষ পর্যন্ত কাজটি করেছে বাংলাদেশ ব্যাংকের টেকনিশিয়ানরা।
শাহ আলম আরো বলেছেন, তবে পাসওয়ার্ড টোকেনটি অরক্ষিত অবস্থায় ফেলে রাখার জন্য কে বা কারা দায়ী সে বিষয়টি এখনো অজানা। এই টোকেনের সুরক্ষার দায়িত্ব অন্তত ছয়জন ব্যাংক কর্মকর্তার।
ফায়ারআইয়ের একটি প্রতিবেদন অনুযায়ী, সিস্টেমে ঢুকে পড়ার পর হ্যাকাররা ছয় ধরনের ম্যালওয়্যার ছড়িয়ে দেয়। এগুলোর কাজ ছিল কি-বোর্ডে কোন বোতামে চাপ পড়ছে তা সংরক্ষণ করা, স্ক্রিনশট নেয়া এবং ভুয়া অর্থ স্থানান্তরের অনুরোধ চিহ্নিত করতে দেরি করিয়ে দেয়া। এই প্রতিবেদনের কিছু অংশ চলতি মাসেই প্রথমবারের মতো হাতে পেয়েছে রয়টার্স।
শাহ আলম বলছেন, ম্যালওয়্যারগুলো বাংলাদেশ ব্যাংকের জন্য বিশেষভাবে ‘কাস্টমাইজ’ করা ছিল। অর্থাৎ কেউ না কেউ হ্যাকারদের বাংলাদেশ ব্যাংকের কম্পিউটার নেটওয়ার্কের একটি বিস্তারিত দিয়েছিল।
হ্যাকারদের একটি গ্রুপ চলতি বছরের ৫ ফেব্রুয়ারি বাংলাদেশ ব্যাংকের অ্যাকাউন্ট থেকে ১০০ মিলিয়ন মার্কিন ডলারের সমপরিমাণ অর্থ চুরি করার চেষ্টা করে। তবে পুরোপুরি সফল না হলেও ৮১ মিলিয়ন ডলার চুরি করতে সক্ষম হয় তারা। বাংলাদেশ ব্যাংকের কোড ব্যবহার করেই এই অর্থ চুরি করা হয়।
বাংলাদেশ ব্যাংক বলছে, হ্যাকাররা বাংলাদেশ ব্যাংকের সিস্টেম এবং সুইফট কোড কন্ট্রোলে নিয়ে যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংকে থাকা বাংলাদেশ ব্যাংকের অ্যাকাউন্টে ৩০টি পেমেন্ট অ্যাডভাইজ পাঠায় ফিলিপাইনের স্থানীয় ব্যাংকে টাকা স্থানান্তরের জন্য। এর মধ্যে চারটি অ্যাডভাইজ অনার করে ফেডারেল রিজার্ভ ব্যাংক, যার মাধ্যমে ৮১ মিলিয়ন ডলার সফলভাবে পাচার করতে সক্ষম হয় হ্যাকাররা। রিজার্ভ চুরির ঘটনা প্রকাশ হওয়ার পর আরসিবিসির বিরুদ্ধে অভিযোগ ওঠে।
এনএফ/পিআর