বাংলাদেশ ব্যাংক থেকে রিজার্ভ চুরির ঘটনায় একাধিক সংস্থা তদন্ত করেছে। সেখানে ঘটনার বর্ণনা আছে। হলিউডের নতুন প্রামাণ্যচিত্র বিলিয়ন ডলার হাইস্ট-এও ঘটনার বিস্তারিত বিবরণ দেওয়া হয়েছে।
বাংলাদেশ ব্যাংকের বৈদেশিক মুদ্রার মজুত বা রিজার্ভ থেকে ৮ কোটি ১০ লাখ ডলার বা ৮১ মিলিয়ন ডলার চুরি হয়েছিল ২০১৬ সালের ৪ ফেব্রুয়ারি। বাংলাদেশ ব্যাংক চুরির এই ঘটনা গোপন রেখেছিল ২৪ দিন। ঘটনা জানাজানি হলে বাংলাদেশ ব্যাংকের সাবেক গভর্নর মোহাম্মদ ফরাসউদ্দিনের নেতৃত্বে একই বছরের ১৫ মার্চ তিন সদস্যের একটি তদন্ত কমিটি গঠন করে সরকার।
একই দিন বাংলাদেশ ব্যাংক মতিঝিল থানায় মামলা করে এবং পরের দিন মামলা হস্তান্তর করা হয় পুলিশের অপরাধ তদন্ত বিভাগ বা সিআইডির কাছে। ফরাসউদ্দিন কমিটি তদন্ত প্রতিবেদন জমা দেয় একই বছরের ৩০ মে। ঘটনা নিয়ে তদন্ত করেছে সিআইডিও। এ ছাড়া যুক্তরাষ্ট্রের ফেডারেল ব্যুরো অব ইনভেস্টিগেশন (এফবিআই) পৃথক তদন্ত করেছে। ২০১৮ সালে যুক্তরাষ্ট্রের ক্যালিফোর্নিয়া ডিস্ট্রিক্ট কোর্টে একটি ফৌজদারি মামলার নথিতে এফবিআইয়ের তদন্তের তথ্য দেওয়া হয়েছে। সব তদন্তেই ঘটনার বিস্তারিত বিবরণ রয়েছে।
হলিউডে তৈরি প্রামাণ্যচিত্র বিলিয়ন ডলার হাইস্ট মুক্তি পেয়েছে ১৪ আগস্ট। সেখানেও রিজার্ভ চুরির ঘটনার বিস্তারিত বিবরণ দেওয়া আছে। সাইবার অপরাধ ও সাইবার নিরাপত্তাবিশেষজ্ঞ ও গবেষকেরা ঘটনার বর্ণনা দিয়েছেন, ঘটনার প্রকৃতিও বিশ্লেষণ করেছেন, নতুন কিছু তথ্যও দিয়েছেন। প্রামাণ্যচিত্রে বারবারই বলা হয়েছে যে ঘটনা ৪ ফেব্রুয়ারি রাতের হলেও আসলে এর পরিকল্পনা করা হয় এক বছরের বেশি সময় ধরে। তারা দীর্ঘদিন ধরে সুইফট-ব্যবস্থা পর্যবেক্ষণ করেছে। এমনকি হ্যাকাররা বাংলাদেশ ব্যাংকের নেটওয়ার্কে ঢুকেছিল অনেক আগে থেকেই।
মার্কিন সংস্থা এফবিআইয়ের তথ্য অনুযায়ী, ২০১৪ সালের ৭ অক্টোবর থেকে বাংলাদেশের বিভিন্ন ব্যাংককে লক্ষ্য বানিয়ে আসছে হ্যাকাররা। মূলত, রিজার্ভ চুরির জন্য বাংলাদেশ ব্যাংকের সিস্টেমে অনুপ্রবেশ করতে চারটি ই-মেইল অ্যাকাউন্ট ব্যবহার করা হয়েছিল।
প্রামাণ্যচিত্রে এ বিষয়ে বলা হয়েছে, ২০১৫ সালের জানুয়ারি মাসেই বাংলাদেশ ব্যাংকের ৩৬ কর্মকর্তার কাছে একটি ই-মেইল পাঠানো হয়। রাজাল আলম নামের এক ব্যক্তি এসব ই-মেইল পাঠান। তিনি কাজ খুঁজছিলেন, পাঠানো মেইলে যুক্ত (অ্যাটাচমেন্ট) করা হয় একটি জীবনবৃত্তান্ত। বাংলাদেশ ব্যাংকের তিন কর্মকর্তা মেইলের সেই অ্যাটাচমেন্ট ফাইল খুলেছিলেন। সেটি ছিল একটা জিপ ফাইল। আসলে সেটিই ছিল একটি ম্যালওয়্যার। আর এর মাধ্যমেই নেটওয়ার্কে ঢুকে পড়ে হ্যাকাররা।
এরপরের দৃশ্যপট ফিলিপাইন। ২০১৫ সালের মে মাসে একজন চীনা ব্যক্তি ম্যানিলার রিজাল কমার্শিয়াল ব্যাংকিং করপোরেশনের (আরসিবিসি) চারটি ব্যাংক হিসাব খোলেন ৫০০ ডলার দিয়ে। এই ব্যাংক হিসাব খোলার পর পরের ৯ মাস কিন্তু তারা চুপচাপ বসে থেকেছে। তবে পুরো এক বছর সাইবার চোর বা হ্যাকাররা ছিল বাংলাদেশ ব্যাংকের কম্পিউটারে-কম্পিউটারে। বাংলাদেশ ব্যাংকের কেউই এটা ধরতে পারেননি।
রিজার্ভ চুরির জন্য বাংলাদেশকে কেন বেছে নেওয়া হয়েছিল
রের জন্য বাকি ছিল আরও ৩০টি অনুরোধ। হ্যাকাররা অপেক্ষায় ছিল সেগুলোর জন্য। এরপর তারা ৩টা ৫৯ মিনিটে কম্পিউটার থেকে বের হয়ে যায়। তারা ভেবেছিল, প্রায় পাঁচটা বাজতে চলল বলে নিউইয়র্ক ফেডের অফিস বন্ধ হয়ে গেছে।
২০১৫ সালের জানুয়ারি মাসে হ্যাকাররা বাংলাদেশ ব্যাংকের নেটওয়ার্কে ঢুকতে পারলেও সুইফট (সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টার ব্যাংক ফিন্যান্সিয়াল টেলিকমিউনিকেশন) টার্মিনালে ঢুকতে তাদের অনেক সময় লেগেছিল। এই সুইফটের মাধ্যমেই অর্থ লেনদেন সম্পন্ন করা হয়। তারা সুইফট টার্মিনালে ঢুকতে পারে ২০১৬ সালের ২৯ জানুয়ারি, ঠিক এক বছর পরে। বাংলাদেশ ব্যাংকে অনেক কম্পিউটার থাকলেও লেনদেন হয় অল্প কয়েকটি থেকে। তারা দীর্ঘ এক বছর ধরে দেখেছে, লেনদেনের কাজটি কীভাবে হয়। ২৯ জানুয়ারি সুইফট টার্মিনালে ঢোকার পরেও তারা আরও পাঁচ দিন অপেক্ষা করেছে। এ সময়ে ম্যালওয়্যার প্রস্তুত করে অপেক্ষা করেছে ৪ ফেব্রুয়ারির জন্য।
যেভাবে চুরি হলো
২০১৬ সালের ৪ ফেব্রুয়ারি ছিল বৃহস্পতিবার। সন্ধ্যায় বাংলাদেশ ব্যাংকের সংশ্লিষ্ট কর্মকর্তা সুইফট টার্মিনাল বন্ধ করে দেন। এর তিন ঘণ্টা পরে ৮টা ৩৬ মিনিটে সাইবার চোর সেই টার্মিনালে প্রবেশ করে। তারপর তারা ৩৫টি অনুরোধ পাঠায় অর্থ স্থানান্তরের জন্য। অর্থের পরিমাণ ছিল ৯৫১ কোটি ডলার। নিউইয়র্ক তখন বাংলাদেশের ১০ ঘণ্টা পেছনে, সেখানে মাত্র সকাল হয়েছে। নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংক (নিউইয়র্ক ফেড) অর্থ স্থানান্তরের জন্য ৩৫টি অনুরোধ পায়, যা খুব স্বাভাবিক ছিল না। কারণ, বাংলাদেশ সাধারণত তিন লাখ থেকে পাঁচ লাখ ডলার স্থানান্তরের অনুরোধ পাঠায়। তবে অপারেটর অনুরোধগুলো প্রত্যাখ্যান করে ফেরত পাঠায়।
সেই কোম্পানির নাম ছিল জুপিটার সি ওয়েজ। হ্যাকারের কপাল খারাপ যে রিজাল ব্যাংকের জুপিটার স্ট্রিট শাখাকে তারা বাকি অর্থ স্থানান্তরের জন্য বেছে নিয়েছিল। কম্পিউটার-ব্যবস্থায় জুপিটার নামটি আটকে যায়।
এমন না যে এত পরিমাণ অর্থ স্থানান্তরের অনুরোধ এসেছে বলে তা বাতিল করা হয়েছে তা নয়; বরং ভুলভাবে উপস্থাপন করা হয়েছিল বলেই বাতিল করা হয়। সাধারণত অর্থ স্থানান্তরের জন্য মধ্যবর্তী একটি ব্যাংকের নাম থাকতে হয়, যা ছিল না। সুতরাং ফেড থেকে বার্তা দেওয়া হয় যে কিছু তথ্য অসম্পূর্ণ। তারপর চোরেরা শুদ্ধ করে সব কটি বার্তা আবার পাঠায়। হ্যাকাররা ৩৪টি অনুরোধ আবার ঠিক করে পাঠাতে পেরেছিল। একটার ক্ষেত্রে মধ্যবর্তী ব্যাংক ছিল ডয়েচে ব্যাংক, আর অর্থ স্থানান্তরের জায়গা ছিল শ্রীলঙ্কার শালিখা ফাউন্ডেশনের নামে, ২ কোটি ডলারের। সেখানে একটি বানান ভুল ছিল। ফাউন্ডেশনের ‘ও’ অক্ষরের জায়গায় লেখা হয়েছিল ‘এ’ অক্ষর। ফলে ডয়েচে ব্যাংক সেটি আটকে দেয়।
শুদ্ধ করে পাঠানো হ্যাকারদের বাকি ৩৪টি অনুরোধ গ্রহণ করা হয়। এর মধ্যে ৪টি অনুরোধ অনুযায়ী ফিলিপাইনে ৮১ মিলিয়ন ডলার স্থানান্তরিত হয়ে যায়। এরপরই হ্যাকাররা হ্যাকিংয়ের পেছনের সব চিহ্ন মুছে ফেলার কাজটি শুরু করে। তারা এ-ও জানত যে অর্থ লেনদেনর একটি প্রমাণপত্রের কাগুজে অনুলিপি বা হার্ড কপি থাকবে। এ কারণেই তারা প্রিন্টার অকেজো করে দিয়েছিল। তারা প্রিন্টারের কার্যতালিকায় (ওয়ার্ক জবে) সব শূন্য করে রাখে, ফলে কোনো কিছুই প্রিন্ট করা যায়নি।
অর্থ স্থানান্তরের জন্য বাকি ছিল আরও ৩০টি অনুরোধ। হ্যাকাররা অপেক্ষায় ছিল সেগুলোর জন্য। এরপর তারা ৩টা ৫৯ মিনিটে কম্পিউটার থেকে বের হয়ে যায়। তারা ভেবেছিল, প্রায় পাঁচটা বাজতে চলল বলে নিউইয়র্ক ফেডের অফিস বন্ধ হয়ে গেছে।
আরও বেশি চুরি হতে পারত
প্রামাণ্যচিত্রটিতে বলা হয়েছে, ওই দিন আসলে আরও ৯৫১ মিলিয়ন ডলার চুরির সুযোগ ছিল। আসলে নিউইয়র্ক ফেডই বাকি ৩০টি অনুরোধের ক্ষেত্রে লেনদেন বন্ধ করে দিয়েছিল। সেটিও এক আলাদা গল্প। ফিলিপাইনের রিজাল কমার্শিয়াল ব্যাংকিং করপোরেশনের (আরসিবিসি) একটি শাখার ঠিকানা ছিল জুপিটার স্ট্রিট। বানান ছিল জে ইউ পি আই টি ই আর। এরও দুই বছর আগের ঘটনা। দ্রিমিত্রিস ক্যাম্বিস নামের গ্রিসের একজন বড় জাহাজ ব্যবসায়ী আছেন।
তিনি তেলবাহী আটটি ট্যাংকার কিনেছিলেন। এই ট্যাংকার কেনার অর্থ গোপনে এসেছিল ইরান থেকে। তখন ইরানের ওপর মার্কিন নিষেধাজ্ঞা ছিল। কিন্তু বিষয়টি ফাঁস হয়ে যায়। ফলে দ্রিমিত্রিসের ওপর নিষেধাজ্ঞা দেওয়া হয়। তাঁর সেই কোম্পানির নাম ছিল জুপিটার সি ওয়েজ। হ্যাকারের কপাল খারাপ যে রিজাল ব্যাংকের জুপিটার স্ট্রিট শাখাকে তারা বাকি অর্থ স্থানান্তরের জন্য বেছে নিয়েছিল। কম্পিউটার-ব্যবস্থায় জুপিটার নামটি আটকে যায়।
ফলে অর্থ স্থানান্তর বন্ধ হয়ে যায়। এ অবস্থায় ফেড নতুন করে অনুরোধগুলো বিশ্লেষণ করে। অর্থের অঙ্ক অস্বাভাবিক মনে হওয়ায় তারা বাংলাদেশ ব্যাংককে নিশ্চিত করতে ফিরতি বার্তা পাঠায়। কিন্তু ততক্ষণে হ্যাকাররা উঠে চলে গেছে। যদি আর এক ঘণ্টা অপেক্ষা করত, তাহলে ফিরতি বার্তার জবাব দিয়ে সব অর্থই তারা তুলে নিতে পারত। হ্যাকাররা সব মিলিয়ে সুইফট টার্মিনালে ছিল ৭ ঘণ্টা ২৪ মিনিট। প্রামাণ্যচিত্রে অবশ্য হালকা রসিকতা করে বলা হয়েছে, হ্যাকাররা আরেকটু ধৈর্য ধরলেই বাকি অর্থ নিয়ে যেতে পারত। তারা ছিল না বলে ফিরতি বার্তার জবাব কেউ দিতে পারেনি।
রিজার্ভ চুরি থেকে তথ্য ফাঁস: ডিজিটাল নিরাপত্তা কেন এতটা দুর্বল?
বাংলাদেশ ব্যাংকের প্রিন্টার কাজ করা শুরু করে রোববার, ৬ ফেব্রুয়ারি। প্রিন্টার কাজ শুরু করতেই পাঠানো সেই ৩০টি বার্তা তারা পায়, যেখানে ফেড নিশ্চিত হতে চেয়েছে। তখন বুঝতে পারে, কিছু একটা ঘটেছে। তবে তারা ফেডকে পায়নি। সুইফটের প্রতিনিধিকে পেলেও তার কথা মতো সুইফট ব্যবস্থা বন্ধ করেনি।
রোববার অর্থাৎ ৬ ফেব্রুয়ারি বাংলাদেশ ব্যাংকের ডেপুটি গভর্নর অফিসে এসে দেখলেন, সব অর্থই আসলে ম্যানিলায় চলে গেছে। তখন তারা মরিয়া হয়ে অর্থ আটকে দিতে ম্যানিলায় বার্তা দেওয়া শুরু করল। কিন্তু সমস্যা সেখানেও ছিল। ওই দিন ফিলিপাইন ছিল বন্ধ, চায়নিজ নতুন বর্ষের ছুটি। অর্থ গেছে সেখানকার রিজাল কমার্শিয়াল ব্যাংকে, তারাও বন্ধ। আসলে চোরেরা খুব পরিকল্পনা করেই দিনগুলোকে বেছে নিয়েছিল।
শুক্রবার থেকে সোমবার পর্যন্ত তিন দেশই কোনো না কোনোভাবে বন্ধ ছিল। সুতরাং চার দিন সময় ছিল চুরির পরিকল্পনা বাস্তবায়নে। প্রামাণ্যচিত্রের ভাষ্যকার মিশা গ্লেনি যেমনটি বলেছেন, ‘এটা আসলেই ছিল অতি উৎকৃষ্ট একটি পরিকল্পনা। পুরো পরিকল্পনাটি করা হয়েছে অত্যন্ত বুদ্ধিমত্তার সঙ্গে।’
ফিলিপাইন ও ক্যাসিনো
ফিলিপাইনের ক্যাসিনোর ওপর আসলে কোনো নজরদারি ছিল না, অর্থের উৎসের কোনো খোঁজও করা হতো না। হ্যাকারের প্রতিনিধিরা ব্যাংক থেকে প্রথমে ২২ মিলিয়ন ডলার ফিলিপাইনের মুদ্রা পেসোতে তুলে নেয়। সেই অর্থ সবার সামনে থেকে বাক্স ভর্তি করে বিমানবন্দরের কাছে অবস্থিত সোলার নামের একটি ক্যাসিনোয় নিয়ে গেছে। যেখানে চীনা জুয়াড়িরাই মূলত খেলতে আসে।
চুরি করা অর্থ প্রথমে ক্যাসিনো চিপে রূপান্তর করা হয়। তারপর সেই চিপ দিয়ে টানা জুয়া খেলা হয়। জুয়ায় কে জিতল বা কে হারল, সেটি গুরুত্বপূর্ণ ছিল না। কারণ, তারা সবাই একই দলের। তারপর সেই চিপস আবার ডলারে রূপান্তর করে হ্যাকাররা বিমানে করে চলে যায়। এটা হচ্ছে মানি লন্ডারিংয়ের উৎকৃষ্ট উদাহরণ। আর চায়নিজ নববর্ষ ছিল বলে এভাবে জুয়া খেলাকে সবাই স্বাভাবিক ধরে নেয়। ক্যাসিনোর মাধ্যমে অর্থ সাদা করার এই পদ্ধতি অনেক পুরোনো, যা হ্যাকাররাও করেছে।
২০১৬ সালের ৯ ফেব্রুয়ারি, ছুটি শেষ। কাজ শুরু। তখনো বাংলাদেশ ব্যাংক চেষ্টা করে যাচ্ছিল যাতে বাকি অর্থ উত্তোলন না করা হয়। কেননা, তখনো ফিলিপাইনের রিজাল ব্যাংকে ৫৯ মিলিয়ন ডলার ছিল। তবে বন্ধের পরে মাত্রই ব্যাংক খুলেছিল বলে অনেক বার্তা এসেছিল। সেসবের ভিড়ে বাংলাদেশের দেওয়া বার্তা হারিয়ে যায়। ফিলিপাইন কর্তৃপক্ষ সেই বার্তা যখন পড়ে, তার আগেই ব্যাংকের ম্যানেজার বাকি ৫৯ মিলিয়ন ডলার তুলে নেওয়ার অনুমোদন দিয়ে দেয়। সেই অর্থও চলে যায় সোলের ক্যাসিনোতে, বাংলাদেশ বার্তা পাঠানোর পাঁচ ঘণ্টা পরে।
সর্বশেষ অবস্থা
চুরি যাওয়া ৮ কোটি ১০ লাখের মধ্যে ৬ কোটি ৬৪ লাখ ডলার এখনো উদ্ধার হয়নি। এই অর্থ উদ্ধারের জন্য ২০২০ সালে যুক্তরাষ্ট্রের ফেডারেল কোর্টে মামলা করে বাংলাদেশ ব্যাংক। এই মামলা এখনো চলমান। রিজার্ভ চুরির ঘটনায় ফিলিপাইন সরকারও তাদের দেশের আদালতে একটি মামলা করেছিল।
ফিলিপাইনের একটি ক্যাসিনোর মালিকের কাছ থেকে দেড় কোটি ডলার উদ্ধার করে ফিলিপাইন সরকার বাংলাদেশ সরকারকে বুঝিয়ে দেয়।
এদিকে রিজার্ভ চুরির ঘটনা নিয়ে পুলিশের অপরাধ তদন্ত বিভাগ (সিআইডি) মামলার তদন্ত এখনো করছে। এই তদন্ত শেষ করার জন্য সিআইডি এখন পর্যন্ত ৭৩ বার সময় নিয়েছে। আগামী ২০ সেপ্টেম্বরের মধ্যে প্রতিবেদন জমা দিতে আবারও সিআইডিকে নির্দেশ দিয়েছেন ঢাকার একটি আদালত।
বাংলাদেশ ব্যাংকের অদক্ষতা ও অবহেলায় অর্থ চুরি
প্রামাণ্যচিত্রটি নিয়ে বাংলাদেশ ব্যাংকের মুখপাত্র মেজবাউল হক প্রথম আলোকে বলেন, রিজার্ভ চুরির অর্থ আদায়ে যুক্তরাষ্ট্রের আদালতে মামলা করা হয়েছে। এই মামলা চলমান আছে।
মামলা তদারকি করছে বাংলাদেশ ফিন্যান্সিয়াল ইন্টেলিজেন্স ইউনিট। আর চুরির পর নিরাপত্তাব্যবস্থা নতুন করে সাজানো হয়েছে। বুয়েটকে দিয়েও পরীক্ষা করা হয়েছে নিরাপত্তাব্যবস্থাটি।
বাংলাদেশ ব্যাংকের তৎকালীন গভর্নর আতিউর রহমানের সঙ্গে এ নিয়ে যোগাযোগ করা হলে তাঁর অফিস থেকে জানানো হয়, তিনি এসব নিয়ে কথা বলতে আগ্রহী না।
