সুইফট ব্যবস্থা হ্যাক করেই চুরি করেছে হ্যাকাররা

সুইফটের লেনদেন ব্যবস্থাকে হ্যাক করেই বাংলাদেশ ব্যাংকের রিজার্ভের ৮ কোটি ১০ লাখ ডলার চুরির ঘটনা ঘটিয়েছে হ্যাকাররা। যুক্তরাজ্যভিত্তিক নিরাপত্তা-বিষয়ক প্রতিষ্ঠান বিএই সিস্টেমসের গবেষণায় এ তথ্য উঠে এসেছে। সুইফট (সোসাইটি ফর ওয়ার্ল্ড ওয়াইড ইন্টার ব্যাংক ফিন্যান্সিয়াল টেলিকমিউনিকেশন) হলো আর্থিক লেনদেনের বার্তা আদান-প্রদানকারী একটি ব্যবস্থা। বেলজিয়ামের রাজধানী ব্রাসেলসভিত্তিক প্রতিষ্ঠান সুইফটে বিশ্বের তিন হাজার আর্থিক প্রতিষ্ঠানের যৌথ মালিকানা আছে। সারা বিশ্বে ১১ হাজার ব্যাংক ও আর্থিক প্রতিষ্ঠান আর্থিক লেনদেনের ক্ষেত্রে সুইফট ব্যবস্থা ব্যবহার করে। হ্যাকারদের হামলার বিষয়ে জানতে রয়টার্সের পক্ষ থেকে জানতে সুইফটের সঙ্গে যোগাযোগ করা হয়। সুইফটের মুখপাত্র নাতাশা দেতেরান বলেন, ম্যালওয়্যারের প্রবেশ ঠেকাতে সোমবার (গতকাল) একটি নতুন সফটওয়্যার হালনাগাদ প্রকাশ করা হবে। একই সঙ্গে সুইফটের সঙ্গে লেনদেনকারী প্রতিষ্ঠানগুলোর অভ্যন্তরীণ নিরাপত্তা নিশ্চিত করতে বিশেষ সতর্কবার্তা জারি করা হবে। আর্থিক লেনদেনের ক্ষেত্রে সারা বিশ্বে স্বীকৃত ব্যবস্থা সুইফটের নিরাপত্তা নিয়ে সংশয় তৈরি হওয়ার পরিপ্রেক্ষিতে নতুন এসব পদক্ষেপ গ্রহণের ঘোষণা নিয়েছে প্রতিষ্ঠানটি। এর আগে গত রোববার নাতাশা দেতেরান রয়টার্সকে বলেছিলেন, ‘রয়টার্সের মূল লেনদেন ব্যবস্থাপনায় ম্যালওয়্যার প্রবেশের কোনো সুযোগ নেই। তবে আমাদের গ্রাহকদের লেনদেনের নিরাপত্তা নিশ্চিত করতে সফটওয়্যার হালনাগাদ করার উদ্যোগ নেওয়া হয়েছে।’ চলতি বছরের ফেব্রুয়ারিতে সুইফট ব্যবহার করে ৩৫টি ভুয়া বার্তার মাধ্যমে যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্কে বাংলাদেশ ব্যাংকের হিসাব থেকে ৯৫ কোটি ১০ লাখ কোটি ডলার সরানোর চেষ্টা করে হ্যাকাররা। ৩৫টির মধ্যে ৪টি বার্তা কার্যকর করে ফিলিপাইনে সরিয়ে নেওয়া হয় ৮ কোটি ১০ লাখ ডলার। আর একটি বার্তা কার্যকর করে শ্রীলঙ্কায় ২ কোটি ডলার সরিয়ে নেওয়া হলেও বানান ভুলের কারণে সন্দেহ হওয়ায় শেষ মুহূর্তে তা আটকে যায়। সাইবার জালিয়াতির এ ঘটনা জানাজানি হলে সারা বিশ্বে তোলপাড় তৈরি হয়। ঢাকায় এসে বাংলাদেশ ব্যাংকের ব্যবহৃত সুইফট ব্যবস্থা পরীক্ষা করে যান প্রতিষ্ঠানটির দুই কর্মকর্তা। সে সময় সুইফট অবশ্য দাবি করেছিল, বাংলাদেশ ব্যাংকের অর্থ লোপাটের ঘটনায় তাদের ব্যবস্থার কোনো দুর্বলতা ছিল না। এদিকে বিএইর গবেষকদের দাবি, অ্যালায়েন্স অ্যাকসেস নামে পরিচিত সুইফটের ক্লায়েন্ট সফটওয়্যারে যে ম্যালওয়্যার প্রবেশ করানো হয়েছিল, সেটি তাঁরা চিহ্নিত করতে পেরেছেন। এই ম্যালওয়্যার ব্যবহার করেই হ্যাকাররা বাংলাদেশ ব্যাংকের রিজার্ভের অর্থ চুরি করে। বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ঘটনা তদন্তে যুক্ত কর্মকর্তারা এত দিন বলছিলেন, হ্যাকাররা বাংলাদেশ ব্যাংকের সার্ভারে ঢুকে পাসওয়ার্ড ও কোড (ক্রেডেনশিয়াল) চুরি করে এবং তা ব্যবহার করে সুইফট সিস্টেমে ঢোকে। কিন্তু বিএইর গবেষকেরা বলছেন, বাংলাদেশ ব্যাংকের কম্পিউটারে সুইফটের যে সফটওয়্যার ছিল, সম্ভবত তার নিরাপত্তা হ্যাকাররা ভেঙেছিল। তারা তা করেছিল নিজেদের অবৈধ লেনদেনের তথ্য মুছে ফেলার জন্য। বিএইর থ্রেট ইনটেলিজেন্স বিভাগের প্রধান আদ্রিয়ান নিশ রয়টার্সকে বলেন, ‘কোনো অপরাধ করার আগে হ্যাকারদের এমন পরিকল্পনার ঘটনা এর আগে তিনি দেখেননি। আমি কোনো ঘটনার কথা মনে করতে পারি না, যেখানে অপরাধীরা তাদের কাজের ক্ষেত্র অনুযায়ী এটা (ম্যালওয়্যার) সাজিয়ে নেওয়ার মতো পর্যায়ে গেছে। আমার ধারণা, লাভের অঙ্কটা মাথায় রেখেই তারা এত দূর ভেবেছে।’ বাংলাদেশে রিজার্ভ চুরির তদন্তে থাকা পুলিশের অপরাধ তদন্ত বিভাগের (সিআইডি) এক কর্মকর্তা রয়টার্সকে বলেন, বিএই যে ম্যালওয়্যারের কথা বলছে, তার খোঁজ এ দেশের তদন্তকারীরা এখনো পাননি। তবে ফরেনসিক বিশেষজ্ঞদের তদন্ত এখনো শেষ হয়নি। পুলিশের তদন্ত কর্মকর্তাদের বরাত দিয়ে গত সপ্তাহে বাংলাদেশ ব্যাংকের সাইবার নিরাপত্তার নাজুক দশা তুলে ধরা হয় রয়টার্সের আরেক প্রতিবেদনে। সেখানে বলা হয়, সাইবার হামলা ঠেকাতে ফায়ারওয়ালের মতো প্রাথমিক ব্যবস্থাও কেন্দ্রীয় ব্যাংকের নেই। সেখানে ব্যবহার করা হয়েছে স্থানীয় বাজার থেকে সস্তায় কেনা সরঞ্জাম, যা ঝুঁকি বাড়িয়ে দিয়েছে। সিআইডির ফরেনসিক প্রশিক্ষণ ইনস্টিটিউটের প্রধান মোহাম্মদ শাহ আলম অবশ্য বাংলাদেশ ব্যাংকের পাশাপাশি সুইফটকেও নিরাপত্তার এই দুর্বলতার জন্য দায়ী করেছেন। রয়টার্সকে তিনি বলেন, ‘ত্রুটিগুলো ধরিয়ে দেওয়া তাদের (সুইফট) দায়িত্ব ছিল। কিন্তু আমরা এমন কিছু পাইনি, যেখানে ঘটনা ঘটে যাওয়ার আগে এ বিষয়ে কোনো পরামর্শ দেওয়া হয়েছে।’