বাংলাদেশ ব্যাংকের আট কোটি ১০লাখ ডলার চুরির ক্ষেত্রে সুইফটের প্ল্যাটফর্ম ব্যবহার করেই চোরেরা সাইবার নিরাপত্তা ভেঙেছিল বলে মনে করছে বিএই সিসটেমস নামের একটি ব্রিটিশ প্রতিষ্ঠান।আর বিশ্বজুড়ে ১১ হাজার ব্যাংককে যুক্ত করা সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাংক ফাইন্যান্সিয়াল টেলিকমিউনিকেশনের (সুইফট) একজন মুখপাত্র বার্তা সংস্থা রয়টার্সকে বলেছে, তাদের ক্লায়েন্ট সফটওয়্যারকে টার্গেট করে ম্যালওয়্যার বসানোর বিষয়ে তারা নিশ্চিত হয়েছে।সুইফট মুখপাত্র নাতাশা দেতেরান জানিয়েছেন, ওই ম্যালওয়্যারকে অকার্যকর করতে তারা সোমবারই একটি সফটওয়্যার আপডেট দেবেন। সেইসঙ্গে সুইফটে সংযুক্ত আর্থিক প্রতিষ্ঠানগুলোকে তাদের সাইবার নিরাপত্তা পরিস্থিতি পর্যালোচনা করে দেখার বিষয়ে সতর্ক করা হবে। যুক্তরাষ্ট্রে ফেডারেল ব্যাংক অব নিউইয়র্কে বাংলাদেশ ব্যাংকের রির্জার্ভ অ্যাকাউন্ট থেকে ১০১ মিলিয়ন মার্কিন ডলার চুরিতে সুইফটের সফটওয়্যারই হ্যাক করা হয়েছিল। চুরির প্রায় তিন মাস পর একথা জানিয়েছে ব্রিটিশ নিরাপত্তা গবেষণা প্রতিষ্ঠান বিএই সিস্টেমস।
সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাংক ফাইন্যান্সিয়াল টেলিকমিউনিকেশনের (সুইফট) মুখপাত্র নাতাশা দেতারান সোমবার বার্তা সংস্থা রয়টার্সকে এ তথ্য জানান। তিন হাজার আর্থিক প্রতিষ্ঠানকে সেবাদানকারী নিরাপত্তা প্রতিষ্ঠান সুইফট, যা বিশ্বের ১১ হাজার ব্যাংকের সঙ্গে কাজ করছে।সুইফট মুখপাত্র নাতাশা বার্তা সংস্থা রয়টার্সকে জানান, ক্লায়েন্টের সফটওয়্যার হ্যাকিংয়ের টার্গেট নিয়ে ম্যালওয়্যার ঢুকানোর বিষয়টি তারা নিশ্চিত হয়েছেন।নতুন করে হ্যাকিংয়ে ব্যবহৃত ম্যালওয়্যার অকার্যকর করতে সোমবারই সুইফট তাদের ক্লায়েন্টদের সফটওয়্যারের হালনাগাদ সরবরাহ করছে। একই সঙ্গে সুইফটের সঙ্গে সংযুক্ত বিশ্বব্যাপী সব আর্থিক প্রতিষ্ঠানকে নিজেদের নিরাপত্তা পর্যালোচনা করতে সতর্কবার্তাও পাঠানো হবে বলে জানান প্রতিষ্ঠানের ওই মুখপাত্র।
ম্যালওয়্যারটি নাম হচ্ছে বাঃফরধম.বীব। এটি এমনভাবে তৈরি করা হয় যে বাংলাদেশ ব্যাংকের সুইফট ডাটাবেজ থেকে হ্যাকারদের নিশানা পরিবর্তন করে দিতে পেরেছে।বিএই আরো জানান, ম্যালওয়্যারটি হ্যাকাররা অ্যাডমিন অ্যাকসেস হাতে পাওয়ার পরই ইনস্টল করে দিয়েছে। তাদের আরো বড় ধরনের পরিকল্পনা ছিল। তবে হ্যাকাররা ঠিক কীভাবে টাকা স্থানান্তরের নির্দেশনা দিয়েছিল সেটি এখনো পরিষ্কার নয়।নিশ জানান, ম্যালওয়্যারটি এমনভাবে ডিজাইন করা হয়েছিল যে, তার বাংলাদেশ ব্যাংকের ইনস্টল করা সুইফট সফটওয়্যারের কোড সামান্য পরিবর্তন করে দিতে সক্ষম। আর এভাবে তারা সুইফট নেটওয়ার্কে ঢুকে ব্যাংকের অনলাইন কার্যক্রমে প্রয়োজনীয় পরিবর্তন সাধন করেছে।
আর এই পদক্ষেপগুলো যখন সম্পূর্ণ হয় তখনই ম্যালওয়্যারটি টাকা স্থানান্তরের নির্দেশনা সম্বলিত তথ্য মুছে ফেলতে সক্ষম হয়েছে। এমনকি এটি লেনদেনের হার্ডকপি সংরক্ষণের জন্য স্থাপিত প্রিন্টারেও আক্রমণ করেছে ফলে কোনো তথ্যই প্রিন্ট হয়নি।
উল্লেখ্য, পরপর প্রিন্টারে সমস্যা দেখা দেয়ার পরও বাংলাদেশ ব্যাংকের সংশ্লিষ্টরা বিষয়টি গুরুত্বের সঙ্গে নেননি। তারা ভেবেছেন প্রিন্টার নষ্ট হয়েছে। আর এভাবেই তিনদিন পর্যন্ত এটি বিকল অবস্থায় ছিল। এর মধ্যে ১০১ মিলিয়ন ডলার চুরি হয়ে গেছে।গত ফেব্র“য়ারির শুরুতে সুইফট সিস্টেম ব্যবহার করে ৩৫টি ভুয়া বার্তা পাঠিয়ে যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্কে থেকে প্রায় এক বিলিয়ন ডলার সরানোর চেষ্টা হয়।এর মধ্যে চারটি মেসেজের মাধ্যমে ফিলিপিন্সের একটি ব্যাংকে সরিয়ে নেওয়া হয় ৮ কোটি ১০ লাখ ডলার। আর একটি মেসেজের মাধ্যমে শ্রীলঙ্কার একটি ভুয়া এনজিওর নামে ২০ মিলিয়ন ডলার সরিয়ে নেওয়া হলেও বানান ভুলের কারণে সন্দেহ হওয়ায় শেষ মুহূর্তে তা আটকে যায়। ইতিহাসের অন্যতম বৃহৎ এই সাইবার জালিয়াতির ঘটনা জানাজানি হলে ফেব্র“য়ারির শুরুতে বিশ্বজুড়ে আলোড়ন সৃষ্টি হয়। ঢাকায় এসে বাংলাদেশ ব্যাংকের ব্যবহৃত সুইফট সিস্টেম পরীক্ষা করে যান তাদের দুই কর্মকর্তা। সুইফট অবশ্য সে সময় দাবি করেছিল, বাংলাদেশ ব্যাংকের অর্থ লোপাটের ঘটনায় তাদের সিস্টেমের কোনো দুর্বলতা ছিল না।তবে রয়টার্স লিখেছে, রিজার্ভ চুরের পর নতুন যেসব তথ্য বেরিয়ে আসছে, তাতে আন্তর্জাতিক অর্থ লেনদেন কাঠামোর এই দুর্বলতা হয়তো এতোদিনের ধারণার চেয়ে বেশিই নাজুক। সুইফট মুখপাত্র দেতেরান রয়টার্সকে বলেছেন, ক্লায়েন্ট ব্যাংকগুলোর ডেটাবেইজে সংরক্ষিত তথ্যে যদি কোনো অসামঞ্জস্য তৈরি হয়, তা চিহ্নিত করে ঠিক করার কাজে সহায়ক হবে নতুন সফটওয়্যার আপডেট। রয়টার্স জানিয়েছে, বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার অ্যালায়েন্স একসেস থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক ঢাকতে যে ম্যালওয়্যার চোরেরা ব্যবহার করেছিলে,তা খুঁজে বের করার কথা দাবি করেছে সাইবার নিরাপত্তা বিষয়ক সেবাদানকারী প্রতিষ্ঠান বিএই সিসটেমস।
এ ঘটনার তদন্তে যুক্ত কর্মকর্তারা এর আগে বলে আসছিলেন, হ্যাকাররা বাংলাদেশ ব্যাংকের সার্ভারে ঢুকে ক্রেডেনশিয়াল (পাসওয়ার্ড, কোড ) চুরি করে এবং তা ব্যবহার করে সুইফট সিস্টেমে ঢোকে বলে তারা মনে করছেন। কিন্তু বিএইর গবেষকরা বলছেন, বাংলাদেশ ব্যাংকের কম্পিউটারে সুইফটের যে সফটওয়্যার ছিল, সম্ভবত তার নিরাপত্তা হ্যাকাররা ভেঙেছিল। তারা তা করেছিল নিজেদের অবৈধ লেনদেনের তথ্য মুছে ফেলার জন্য। বিএইর থ্রেট ইনটেলিজেন্স বিভাগের প্রধান আদ্রিয়ান নিশ রয়টার্সকে বলেছেন, কোনো অপরাধ করার আগে হ্যাকারদের এরকম সুচারু পরিকল্পনার ঘটনা এর আগে তিনি দেখেননি। আমি কোনো ঘটনার কথা মনে করতে পারি না, যেখানে অপরাধীরা তাদের কাজের ক্ষেত্র অনুযায়ী এটা (ম্যালওয়্যার) সাজিয়ে নেওয়ার মতো পর্যায়ে গেছে। আমার ধারণা, লাভের অংকটা মাথায় রেখেই তারা এতোদূর ভেবেছে। দেতেরান অবশ্য দাবি করেছেন, ওই ম্যালওয়্যারের কারণে সুইফট নেটওয়ার্ক বা মূল মেসেজিং সিস্টেমের নিরাপত্তার কোনো ক্ষতি হয়নি। তিনি বলেছেন, বিশ্বের ১১ হাজার ব্যাংক ও আর্থিক প্রতিষ্ঠান সুইফটের মেসেজিং প্ল্যাটফর্ম ব্যবহার করলেও বাংলাদেশ ব্যাংকের মতো খুব কম প্রতিষ্ঠানই অ্যালায়েন্স একসেস সফটওয়্যারটি ব্যবহার করে। আমাদের ইন্টারফেইস প্রোডাক্টগুলো সব পর্যালোচনার পাশাপাশি আমরা অন্যদেরও পরামর্শ দেব, যেন তারা একই কাজ করেন। এ ধরনের পরিস্থিতিতে প্রতিরক্ষার একমাত্র উপায় হলো- স্থানীয় পরিবেশ অনুযায়ী যথাযথ নিরাপত্তার ব্যবস্থা নেওয়া, বলেন দেতেরান।
