সাজানো পরিকল্পনায় যে ছোট্ট ভুল ছিল হ্যাকারদের

২০১৫ সালে বাংলাদেশ ব্যাংকের একাধিক কর্মচারীর কাছে একটি নির্দোষ ই-মেইল যায়। ই–মেইলটি করেছিলেন রাসেল আহলাম নামের একজন চাকরিপ্রার্থী। একটি ওয়েবসাইট থেকে তাঁর জীবনবৃত্তান্ত এবং কভার লেটার ডাউনলোডের জন্য একটি আমন্ত্রণ অন্তর্ভুক্ত ছিল ওই ই-মেইলে। বাস্তবে রাসেলের কোনো অস্তিত্ব ছিল না। তিনি কেবল একটি প্রচ্ছদ নাম, যা লাজারাস গ্রুপ ব্যবহার করেছিল।

২০১৬ সালে বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ঘটনা নিয়ে বিবিসি অনলাইনের এক প্রতিবেদনে এ তথ্য উঠে আসে। বিবিসির ওই প্রতিবেদনে বলা হয়, অনেক আগে থেকে রিজার্ভ চুরির প্লট তৈরি করছিল উত্তর কোরিয়ার হ্যাকার গ্রুপ লাজারাস। আর ওই পরিকল্পনার অংশ হিসেবে বাংলাদেশ ব্যাংকের নেটওয়ার্কে ঢুকতে ভুয়া ই-মেইল পাঠিয়েছিল তারা। যুক্তরাষ্ট্রের গোয়েন্দা সংস্থা এফবিআইয়ের তদন্তে এমনটাই উঠে আসে। তদন্তে বলা হয়, বাংলাদেশ ব্যাংকের কয়েকজন কর্মকর্তার কাছে ই-মেইলটি যায়। অন্তত একজন ফাঁদে পা দেন, ডাউনলোড করে ফেলেন। ই–মেইলের ভাইরাস ঢুকে পড়ে তার কম্পিউটারে। ব্যাংকের সিস্টেমে একবার ঢুকে লাজারাস গ্রুপ গোপনে কম্পিউটার থেকে কম্পিউটারে চলে যায়। ডিজিটাল ভল্ট থেকে শুরু করে যাবতীয় রিজার্ভের তথ্য নিয়ে কাজ শুরু করে। এরপর চুপ হয়ে যায়। এখন প্রশ্ন জাগতে পারে, এক বছর আগে কম্পিউটারে ঢুকে তারা কেন এত দিন বসে থাকল। আসলে অর্থ নিয়ে সরে যাওয়ার জন্য তাদের একটি নিরাপদ রুটের প্রয়োজন ছিল।

এবার আসে জুপিটার স্ট্রিটের নাম। ফিলিপাইনের ম্যানিলার একটি ব্যস্ততম এলাকা। দেশের অন্যতম বৃহত্তম ব্যাংক আরসিবিসির একটি শাখা রয়েছে এখানে। ২০১৫ সালের মে মাসে হ্যাকাররা বাংলাদেশ ব্যাংকের সিস্টেমে ঢুকতে পারার কয়েক মাস পর এখানে চারটি ব্যাংক হিসাব খোলে। অ্যাকাউন্টগুলো খুলতে অনেক ভুয়া কাগজের আশ্রয় নিয়েছিল তারা। তবে কেন যেন বিষয়টি কারও নজরে পড়েনি। হ্যাকাররা হিসাবগুলোতে ৫০০ ডলার করে রেখেছিল। হিসাবগুলো দিয়ে কোনো লেনদেনই হয়নি। ২০১৬ সালে মূল সাইবার হামলা চালানোর আগে লাজারাস হ্যাকার গ্রুপ পুরোপুরি প্রস্তুতি নিয়ে ফেলে। তবে তাদের জন্য আরেকটি কঠিন কাজ ছিল তা হলো বাংলাদেশ ব্যাংকের ১০ তলার প্রিন্টার। বাংলাদেশ ব্যাংক তার অ্যাকাউন্ট থেকে সব ট্রান্সফার রেকর্ড করার জন্য একটি পেপার ব্যাক-আপ সিস্টেম তৈরি করেছিল, যা হ্যাকারদের কাজ তাৎক্ষণিকভাবে জেনে ফেলার একটি ঝুঁকি তৈরি করেছিল। তাই তারা প্রিন্টারের সফটওয়্যার হ্যাক করে নিয়ন্ত্রণ নিয়ে নেয়। এবার শুরু হয় আসল কাজ।

আরও পড়ুন

বৃহস্পতিবার রাতে নিউইয়র্ক ফেডকে ৩৫টি বার্তা পাঠিয়ে ৯৫ কোটি ১০ লাখ ডলার স্থানান্তরের আদেশ দেয়। হ্যাকারদের সব কাজই পরিকল্পনামাফিক ছিল। তবে হলিউডের সিনেমার মতো ছোট্ট একটি ভুল করে ফেলেছিল হ্যাকাররা। হ্যাকাররা এই টাকা পাঠায় আরসিবিসি ব্যাংকের জুপিটার স্ট্রিটের শাখায়। ম্যানিলায় শত শত ব্যাংক রয়েছে, যা হ্যাকাররা ব্যবহার করতে পারত, তবে তারা বেছে নিল জুপিটার স্ট্রিটের ব্যাংক শাখাকে। এমনকি এর পেছনে তাদের বহু ব্যয়ও করতে হয়েছে। ভুলটা হয় এখানেই। ফেডকে পাঠানো একটি আদেশে ব্যবহৃত ঠিকানায় ‘জুপিটার’ শব্দটি অন্তর্ভুক্ত ছিল, এটি যুক্তরাষ্ট্রের অবরোধ আরোপ করা ইরানের একটি জাহাজের নাম ছিল। তাই এই নাম এলেই অটোমেটিক সংকেত যায় ফেডে। আদেশ স্থগিত করা হয়। বেশির ভাগ লেনদেনই আর সম্পন্ন হয় না। কেবল ১০ কোটি ১০ লাখ ডলারের ৫টি লেনদেন সম্পন্ন হয়।

এর মধ্যে ২০ মিলিয়ন ডলার শালিকা ফাউন্ডেশন নামের একটি শ্রীলঙ্কার দাতব্য প্রতিষ্ঠানে স্থানান্তরিত হয়েছিল। এখানেও যে ভুলটা হয়, তা হলো শালিকা ফাউন্ডেশনের বানান ভুল হয় হ্যাকারদের। ফাউন্ডেশন বানানটি ভুল করেছিল তারা। ফলে ওই লেনদেনও বন্ধ হয়ে যায়। অর্থাৎ হ্যাকাররা সরাতে পারে ৮ কোটি ১০ লাখ ডলার।