মোহাম্মদী নিউজ এজেন্সী নিউজ – ফিচার – ফটো নেটওয়ার্ক
এমএনএ রিপোর্ট : বাংলাদেশ ব্যাংকের ৮ কোটি ১০ লাখ ডলার চুরির ক্ষেত্রে সুইফটের প্ল্যাটফর্ম ব্যবহার করেই হ্যাকাররা সাইবার নিরাপত্তা ভেঙে ছিল।
এমনটিই বলছেন ব্রিটিশ নিরাপত্তা প্রতিষ্ঠান বিএই সিস্টেমস পিএলসির নিরাপত্তা গবেষকরা। এ সংক্রান্ত যথাযথ প্রমাণও দিয়েছেন তারা।
এর পরিপ্রেক্ষিতে সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাংক ফাইন্যান্সিয়াল টেলিকমিউনিকেশন (সুইফট) বিষয়টি স্বীকার করেছে।
প্রতিষ্ঠানটির মুখপাত্র নাতাশা দেতেরান গত রবিবার বার্তা সংস্থা রয়টার্সকে জানিয়েছেন, তাদের ক্লায়েন্ট সফটওয়্যারকে টার্গেট করে ম্যালওয়্যার বসানোর বিষয়ে তারা নিশ্চিত হয়েছেন।
অথচ ঘটনার পর থেকেই সুইফট দাবি করে আসছিল, তাদের নিরাপত্তা ব্যবস্থা বা সিস্টেম হ্যাক হয়নি। কোনো ম্যালওয়্যারও প্রবেশ করেনি তাদের সিস্টেমে। সুইফটের দুটি প্রতিনিধি দল বাংলাদেশ ব্যাংক ঘুরে গিয়েও একই দাবি করে।
নাতাশা দেতেরান আরও জানিয়েছেন, ‘ওই ম্যালওয়্যারকে অকার্যকর করতে তারা গতকাল সোমবারই (বাংলাদেশে আজ) একটি সফটওয়্যার আপডেট দেবেন। সেই সঙ্গে সুইফটে সংযুক্ত আর্থিক প্রতিষ্ঠানগুলোকে তাদের সাইবার নিরাপত্তা পরিস্থিতি পর্যালোচনা করে দেখার বিষয়ে সতর্ক করা হবে।’
বিশ্বজুড়ে ১১ হাজারের বেশি আর্থিক প্রতিষ্ঠান সুইফটের মাধ্যমে লেনদেন করে থাকে। ফেব্রুয়ারির শুরুতে সুইফট সিস্টেম ব্যবহার করে ৩৫টি ভুয়া বার্তা পাঠিয়ে যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্কে থেকে ৯৫ কোটি ১০ লাখ ডলার সরানোর চেষ্টা হয়।
এর মধ্যে চারটি বার্তার মাধ্যমে ফিলিপাইনের রিজাল কমার্শিয়াল ব্যাংকিং কর্পোরেশনে (আরসিবিসি) সরিয়ে নেয়া হয় ৮ কোটি ১০ লাখ ডলার। আর একটি বার্তার মাধ্যমে শ্রীলঙ্কার ভুয়া এনজিও শ্যালিকা ফাউন্ডেশনের নামে ২ কোটি ডলার সরিয়ে নেয়া হলেও বানান ভুলের কারণে সন্দেহ হওয়ায় শেষ মুহুর্তে তা আটকে যায়।
ইতিহাসের অন্যতম বৃহৎ এ সাইবার জালিয়াতির ঘটনা জানাজানি হলে বিশ্বজুড়ে আলোড়ন সৃষ্টি হয়।
ঢাকায় এসে বাংলাদেশ ব্যাংকের ব্যবহৃত সুইফট সিস্টেম পরীক্ষা করে যান (১৫-২০ মার্চ) তাদের দুই প্রযুক্তি বিশেষজ্ঞ। পরে প্রতিষ্ঠানটির সিঙ্গাপুরের ব্যবস্থাপনা পরিচালক ও এশিয়া অঞ্চলপ্রধান অ্যাডওয়ার্ড হাদ্দাদের নেতৃত্বে আরেকটি বিশেষজ্ঞ দলও বাংলাদেশ ব্যাংকের সংশ্লিষ্ট কক্ষ, যন্ত্রাদি ও ব্যবস্থাপনা পর্যবেক্ষণ (৩-৬ এপ্রিল) করেন।
দুটি দলই দাবি করে, অর্থ লোপাটের ঘটনায় তাদের সিস্টেমের কোনো দুর্বলতা ছিল না। পরে সুইফটের প্রধান নির্বাহী কর্মকর্তা গোটফিট লেব্র্যান্ডটও বাংলাদেশের ইউজার গ্রুপের কাছে চিঠি দিয়ে একই দাবি করেন।
তবে বিএই সিস্টেমস বলছে, আন্তর্জাতিক অর্থ লেনদেন কাঠামোর এই দুর্বলতা এতদিনের ধারণার চেয়ে বেশিই নাজুক।
সুইফট মুখপাত্র দেতেরান বলেছেন, ক্লায়েন্ট ব্যাংকগুলোর ডেটাবেজে সংরক্ষিত তথ্যে যদি কোনো অসামঞ্জস্য তৈরি হয়, তা চিহ্নিত করে ঠিক করার কাজে সহায়ক হবে নতুন সফটওয়্যার আপডেট।
ম্যালওয়্যার : রয়টার্স জানিয়েছে, বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার ‘অ্যালায়েন্স একসেস’ থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক ঢাকতে যে ম্যালওয়্যার চোররা ব্যবহার করেছিল, তা খুঁজে বের করার কথা দাবি করেছে সাইবার নিরাপত্তাবিষয়ক সেবাদানকারী প্রতিষ্ঠান বিএই সিস্টেমস।
এ ঘটনার তদন্তে যুক্ত কর্মকর্তারা এর আগে বলে আসছিলেন, হ্যাকাররা বাংলাদেশ ব্যাংকের সার্ভারে ঢুকে ক্রেডেনশিয়াল (পাসওয়ার্ড, কোড) চুরি করে এবং তা ব্যবহার করে সুইফট সিস্টেমে ঢোকে বলে তারা মনে করছেন।
কিন্তু বিএইর গবেষকরা বলছেন, বাংলাদেশ ব্যাংকের কম্পিউটারে সুইফটের যে সফটওয়্যার ছিল, তার নিরাপত্তা হ্যাকাররা ভেঙে ছিল। তারা তা করেছিল নিজেদের অবৈধ লেনদেনের তথ্য মুছে ফেলার জন্য।
দেতেরান অবশ্য গত রবিবারও দাবি করেছেন, ওই ম্যালওয়্যারের কারণে সুইফট নেটওয়ার্ক বা মূল মেসেজিং সিস্টেমের নিরাপত্তার কোনো ক্ষতি হয়নি।
তিনি বলেছেন, বিশ্বের ১১ হাজার ব্যাংক ও আর্থিক প্রতিষ্ঠান সুইফটের মেসেজিং প্ল্যাটফর্ম ব্যবহার করলেও বাংলাদেশ ব্যাংকের মতো খুব কম প্রতিষ্ঠানই অ্যালায়েন্স একসেস সফটওয়্যারটি ব্যবহার করে।
দেতেরান তাদের সব ব্যবহারকারীকে স্থানীয় নিরাপত্তা ব্যবস্থা জোরদার করারও আহ্বান জানান।
বিএইর থ্রেড ইন্টিলিজেন্স বিভাগের প্রধান আদ্রিয়ান নিস বলেন, হ্যাকারদের এমন সম্প্রসারিত কার্যক্রম আমি আগে দেখিনি। অপরাধীরা পুরো পরিবেশ ও পরিচালন ব্যবস্থাকেই নিজেদের মতো করে সাজিয়ে নিয়েছিল।
রয়টার্স বলছে, বাংলাদেশ ব্যাংক বিএইর এ মন্তব্যকে নাকচ করেছে।
বাংলাদেশে তদন্তকারী প্রতিষ্ঠান সিআইডিও বলছে, এমন কোনো ম্যালওয়্যার পাওয়ার তথ্য তাদের কাছে নেই। তদন্ত তদারক কর্মকর্তা পুলিশের অতিরিক্ত ডিআইজি মো. শাহ আলম রয়টার্সকে বলেন, কোনো প্রমাণ বের করা তাদের দায়িত্ব, কিন্তু আমরা কোনো প্রমাণ পাইনি, চুরির আগে এ বিষয়ে তারা আমাদের কিছুই বলেনি।
বিএই সতর্ক করেছে, হ্যাকিংয়ের মাধ্যমে পাচার হওয়া কোড/পাসওয়ার্ড কাজে লাগিয়ে আবারও এমন সাইবার হামলার ঘটনা ঘটতে পারে। তা ঠেকাতে কিছু কারিগরি পরামর্শও দিয়েছে প্রতিষ্ঠানটি।
এর একটি হচ্ছে, ম্যালওয়্যারের মাধ্যমে মিসরে তথ্য পাঠানো। ওই ম্যালওয়ারটি (evtdiag.exe) সুইফট ডাটাবেজে তথ্যের পরিবর্তন ঘটিয়ে হ্যাকারদের চলাচল ও তথ্য পাচারের চিহ্ন বা তথ্য লুকিয়ে রাখা বা মুছে ফেলার জন্যই তৈরি করা। তবে এখনও এটা নিশ্চিত হওয়া যায়নি যে, হ্যাকাররা কিভাবে অর্থ প্রেরণের বার্তা পাঠিয়েছে।
আদ্রিয়ান নিস বলেন, আমরা নিশ্চিত যে, বাঃফরধম.বীব-ই ব্যবহার হয়েছে বাংলাদেশের অর্থ চুরির কাজে। ম্যালওয়্যারটি এমনভাবে তৈরি যাতে বাংলাদেশ ব্যাংকের অ্যাকসেস অ্যালায়েন্স সফটওয়্যারে অবস্থান (ইন্সটল) নিয়ে কোড পরিবর্তন করে ফেলে। সুইফট নেটওয়ার্কে ব্যাংকের বার্তা ও ডাটাবেজও পরিবর্তন করে। আর একবার এটি কোথাও পা রাখতে পারলে তার সব কাজের (হ্যাকারদের নির্দেশনা) মুছে ফেলে।
এমনকি এ ম্যালওয়্যার অ্যাকাউন্ট ব্যালেন্সও নিপুণভাবে পরিচালনা বা ব্যবহার করতে পারে, যতক্ষণ পর্যন্ত অর্থ পাচার শেষ না হয়।
এমনকি ম্যালওয়্যারটি প্রিন্টারকে নির্দেশনা দিয়ে অর্থ প্রেরণের বার্তা (ট্রান্সফার নোটিশ) প্রিন্টও করাতে পারে। যে কারণে সহজে আক্রমণের বিষয়টি ধরা পড়ে না।
