গত ১৮ মার্চ ১৬ বাংলাদেশ ব্যাংকের ঘটনা সম্পর্কে তদন্ত সংস্থা ফায়ার আই তাদের প্রাথমিক তদন্ত প্রতিবেদন প্রকাশ করেছে। দৈনিক প্রথম আলো ২০ মার্চ সেই আলোকে যে প্রতিবেদন প্রকাশ করে সেটি নি¤œরূপ:
“আগে থেকে বাংলাদেশ ব্যাংকের তথ্যপ্রযুক্তি বা আইটি ব্যবস্থার ত্রুটি জেনে তারপরই রিজার্ভের অর্থ চুরির সাইবার হামলাটি করা হয়েছে। বাংলাদেশ ব্যাংকের আইটি ব্যবস্থার নিরাপত্তায় যেসব ফায়ারওয়াল বা প্রতিরোধক ছিল সেগুলোকে সহজে উপেক্ষা (বাইপাস) করতে পারবে সাইবার আক্রমণের জন্য সে রকম ‘বিশেষ প্রোগ্রাম’ তৈরি করা হয়েছিল। যেটিকে ‘সফিসটিকেটেড্ (অত্যাধুনিক) ম্যালওয়্যার’ হিসেবে আখ্যায়িত করা হচ্ছে। যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্ক থেকে বাংলাদেশ ব্যাংকের রিজার্ভের ১০ কোটি ১০ লাখ মার্কিন ডলার (বাংলাদেশী মুদ্রায় প্রায় ৮০৮ কোটি টাকা) চুরির ঘটনার অন্তর্বর্তীকালীন বা প্রাথমিক তদন্ত প্রতিবেদনে এসব তথ্য তুলে ধরা হয়েছে। গত সপ্তাহের শেষ কার্যদিবসে (১৮ মার্চ ১৬) এ প্রতিবেদন দাখিল করা হয়েছে। তবে এ ঘটনার বিস্তারিত বা চূড়ান্ত প্রতিবেদন পেতে আরও দুই সপ্তাহ সময় লাগবে বলে জানানো হয়েছে। তদন্তে বলা হয়েছে, বাংলাদেশ ব্যাংকের দিক থেকে সুইফট ব্যবহারে নিযুক্ত কর্মকর্তারা সর্বশেষ পাসওয়ার্ড (গোপন নম্বর) পরিবর্তন করেছেন জানুয়ারির প্রথম সপ্তাহে। এরপর অর্থ চুরি যাওয়ার আগে আর পাসওয়ার্ড পরিবর্তনের তথ্য পাওয়া যায়নি। যুক্তরাষ্ট্রের সিলিকন ভ্যালিভিত্তিক ফায়ারআই ও ভার্জিনিয়াভিত্তিক ওয়ার্ল্ড ইনফোমেট্রিক্স সাইবার সিকিউরিটি যৌথভাবে এ রিজার্ভের অর্থ চুরির ঘটনার ‘ফরেনসিক (বৈজ্ঞানিক ও প্রযুক্তির ব্যবহার করে তথ্যপ্রমাণ উদ্ঘাটন ও কার্যকারণ খুঁজে বের করা)’ তদন্ত করছে। মূলত বাংলাদেশ ব্যাংকের পক্ষ থেকে এ তদন্তের দায়িত্বভার দেয়া হয়েছে বিশ্বব্যাংকের সাবেক তথ্যপ্রযুক্তি কর্মকর্তা রাকেশ আস্থানার প্রতিষ্ঠান ওয়ার্ল্ড ইনফোমেট্রিক্সকে। পরবর্তী সময়ে তার সঙ্গে ফায়ারআইকে যুক্ত করা হয়। এদিকে, রাকেশ আস্থানাকে একটি প্রকল্পের আওতায় সাইবার বিশেষজ্ঞ হিসেবে নিয়োগ দিয়েছে বাংলাদেশ ব্যাংক। অন্তর্বর্তীকালীন তদন্ত প্রতিবেদনে বলা হয়েছে, বাংলাদেশ ব্যাংকের রিজার্ভের অর্থ চুরির জন্য যে সাইবার আক্রমণটি করা হয়েছে সেটি ছিল পূর্বপরিকল্পিত। এ জন্য তথ্য চুরির সুবিধার্থে বিশেষভাবে তৈরি ম্যালওয়্যারটিতে কি (চাবি) লগারসসহ বাড়তি বিভিন্ন উপকরণ যুক্ত করা ছিল। ম্যালওয়্যার হচ্ছে একধরনের ক্ষতিকর বিশেষ সফটওয়্যার। ব্যক্তিগত কম্পিউটারের প্রবেশাধিকার, গুরুত্বপূর্ণ তথ্য সংগ্রহ এবং কম্পিউটারের স্বাভাবিক কার্যক্রম ব্যাহত করে হ্যাকের ঘটনা ঘটাতে এটি ব্যবহার করা হয়। তদন্ত প্রতিবেদন অনুযায়ী, এখন পর্যন্ত কেন্দ্রীয় ব্যাংকের ৩২টি কম্পিউটারে অত্যাধুনিক ম্যালওয়্যারের অস্তিত্ব খুঁজে পাওয়া গেছে, যেসব কম্পিউটার বাংলাদেশ ব্যাংকের নিজস্ব বা অভ্যন্তরীণ নেটওয়ার্কের সঙ্গে সংযুক্ত। এসব কম্পিউটারের যে কোন একটিকে ব্যবহার করে বাংলাদেশ ব্যাংকের নিজস্ব নেটওয়ার্কের মাধ্যমে আর্থিক লেনদেনের বার্তা আদান-প্রদানকারী আন্তর্জাতিক নেটওয়ার্ক সুইফটে ঢুকে পড়েছিল তৃতীয় পক্ষটি। প্রাথমিক তদন্তের তথ্য অনুযায়ী, তৃতীয় পক্ষটি ‘সুইফটে’ ঢুকে গত ২৯ জানুয়ারি বেলা পৌনে তিনটার দিকে ‘সুইফট লাইভ’ কার্যক্রমের ভেতরে ‘সিস্টেম মনিটরিং সংক্ষেপে সিসমন’ নামের অপর একটি প্রোগ্রাম বসিয়ে দেয়। এ ‘সিসমন’ প্রোগ্রামটি বসানোর আগেই সুইফট লাইভ ও সুইফট ইউএটি (ইউজার এ্যাকসেফটেনস টেস্ট) এ্যাডমিনিস্ট্রেটরের (প্রশাসক) নিয়ন্ত্রণ নিয়ে নেয়। বিশেষজ্ঞরা বলছেন, কম্পিউটারের কোন একটি সিস্টেম ও নেটওয়ার্কে যিনি এ্যাডমিন থাকেন পুরো সিস্টেমটির নিয়ন্ত্রণ থাকে তার হাতে। ওই এ্যাডমিন সিস্টেমটিতে যে কোন কিছু সংযোজন, বিয়োজন, পরিবর্তনসহ যাবতীয় কার্যক্রম চালাতে পারে। কিন্তু এ্যাডমিন ছাড়া ওই সিস্টেম বা নেটওয়ার্ক ব্যবহারকারীরা নির্ধারিত কিছু কাজ ছাড়া বাড়তি কিছু করতে পারেন না। ব্যবহারকারীরা কী কী কাজ সিস্টেমে করতে পারবেন তা এ্যাডমিনই নির্ধারণ করে দেন। ফায়ারআই ও ওয়ার্ল্ড ইনফোমেট্রিক্সের যে প্রাথমিক তদন্ত প্রতিবেদন সেটির কারিগরি দিকগুলো নিয়ে প্রথম আলোর পক্ষ থেকে বাংলাদেশ প্রকৌশল বিশ্ববিদ্যালয়ের (বুয়েট) সহযোগী অধ্যাপক এবং কম্পিউটার নেটওয়ার্ক ও সিকিউরিটি সিস্টেম বিশেষজ্ঞ ইউসুফ সারোয়ারসহ বুয়েটের একাধিক বিশেষজ্ঞের মতামত নেয়া হয়। প্রাথমিক তদন্ত প্রতিবেদনের কারিগরি বিভিন্ন বিষয় বিশ্লেষণ করে ইউসুফ সারোয়ার প্রথম আলোকে বলেন, তদন্তের ভাষ্য অনুযায়ী, অর্থ চুরিতে ব্যবহƒত ‘ম্যালওয়্যারটি’ বাংলাদেশ ব্যাংকের রিজার্ভের সিস্টেম হ্যাক করার জন্য বিশেষভাবে তৈরি। এ কারণে সহজে ফায়ারওয়াল বা প্রতিরোধকগুলো ভেদ করতে পেরেছে। তদন্ত প্রতিবেদনে বলা হয়েছে, বাংলাদেশ ব্যাংকের সুইফট সিস্টেমে যে সিসমন প্রোগ্রাম বসানো হয়েছিল সেটি ২৯ জানুয়ারি সারা দিনই সচল থাকার তথ্য-উপাত্ত মিলেছে। তবে হ্যাকাররা বাংলাদেশ ব্যাংকের নিজস্ব নেটওয়ার্ক ও সুইফট সিস্টেম থেকে অনেক তথ্য-উপাত্ত মুছে ফেলেছে। যাতে তাদের উপস্থিতি-সংক্রান্ত তথ্যগুলো সংরক্ষিত না থাকে। তবে তদন্তকারী সংস্থার পক্ষ থেকে বলা হয়েছে, বিশেষ প্রোগ্রাম ব্যবহার করে মুছে ফেলা তথ্য পুনরুদ্ধারের চেষ্টা চলছে। সিসমনের বিষয়ে জানতে চাইলে ইউসুফ সারোয়ার প্রথম আলোকে বলেন, ‘সিসমন’ এমন একটি প্রোগ্রাম যেটির মাধ্যমে অপর একটি সিস্টেমের যাবতীয় কার্যক্রমের তথ্য সংগ্রহ ও সংরক্ষণ করা হয়। সিসমনে যেভাবে তথ্য সংরক্ষণ করা হয় সেগুলো পরে ম্যালওয়্যারের মাধ্যমে অত্যন্ত গোপনীয়তার সঙ্গে হ্যাকাররা নিজেদের মধ্যে আদান-প্রদান বা ভাগাভাগি করতে পারেন। এদিকে ফরেনসিক প্রতিবেদনে বাংলাদেশ ব্যাংকের সিস্টেমে তৃতীয় পক্ষের উপস্থিতির ক্রমানুযায়ী কিছু বিবরণ দেয়া হয়েছে। তাতে সন্দেহজনক তৃতীয় পক্ষের প্রথম উপস্থিতি পাওয়া গেছে ২৪ জানুয়ারি। ওই দিন দুই দফায় এ উপস্থিতির তথ্য-উপাত্ত পাওয়া গেছে। প্রথম দফায় মাত্র ৫৫ সেকেন্ড এবং দ্বিতীয় দফায় ১ মিনিট ৩৭ সেকেন্ড ধরে উপস্থিতি ছিল তৃতীয় পক্ষটির। এরপর ২৯ জানুয়ারি দীর্ঘ সময়ের উপস্থিতি ছিল ওই পক্ষটির। ওই দিন সুইফট থেকে তথ্য সংগ্রহের জন্য বাড়তি একটি প্রোগ্রাম বসানো হয়েছিল। ২৯ জানুয়ারির পর আবারও তৃতীয় পক্ষটির অস্তিত্ব পাওয়া গেছে ৩১ জানুয়ারি। ওই দিন কয়েক দফায় উপস্থিতির তথ্যপ্রমাণ রয়েছে। ফরেনসিক তথ্যপ্রমাণের ভিত্তিতে তদন্ত প্রতিবেদনে বলা হয়েছে, প্রকৃত ব্যবহারকারীর (ইউজার) পরিচিতির তথ্য চুরি করে তা কাজে লাগে কি-না সেটি যাচাই করে দেখা হয় ৩১ জানুয়ারি। এরপর ৪ ফেব্রুয়ারি দিবাগত রাত সাড়ে আটটার দিকে সুইফটে অনুপ্রবেশ করে তৃতীয় পক্ষটি। রাত সাড়ে ৮টা থেকে ভোর ৪টা পর্যন্ত প্রায় সাড়ে সাত ঘণ্টা অবস্থান করে অর্থ পরিশোধের ৩৫টি ভুয়া ‘এ্যাডভাইস বা পরামর্শ’ তৈরি করে তা যুক্তরাষ্ট্রের ব্যাংকের পাঠানো হয়। এসব পরামর্শ থেকে ৫টি পরামর্শ স্বয়ংক্রিয়ভাবে কার্যকর হয়ে বাংলাদেশের রিজার্ভের ১০ কোটি ১০ লাখ ডলার চলে যায় ফিলিপিন্স ও শ্রীলঙ্কায়।
প্রাথমিক প্রতিবেদনটি থেকে যেসব বিষয় আমরা উপলব্ধি করতে পারি সেটি গুরুত্ব দিয়ে বিবেচনা করা যেতে পারে। প্রথমত কথিত হ্যাকাররা বাংলাদেশ ব্যাংকের দুর্বলতার সুযোগ নিয়েছে। এমন দুর্বলতা সরকারের অনেক প্রতিষ্ঠানেই রয়েছে। সেই দুর্বলতাগুলো কাটানো দরকার। দ্বিতীয়ত যে ম্যালওয়্যারটি বাংলাদেশ ব্যাংকে পাঠানো হয় সেটি সাধারণ কোন ম্যালওয়্যার নয়। এটি বিশেষভাবে তৈরি। আমি ফায়ারআই-এর মূল প্রতিবেদনটি পড়েছি এবং তাতে এটি এভাবে বলা হয়েছে যে জাতীয় পর্যায়ের হ্যাকিং-এর জন্য এ ধরনের ম্যালওয়্যার তৈরি করা হয়। এই দুটি তথ্য থেকেই আমরা এমন ধারণা কি করতে পারি না যে দেশের ভেতরে, বাংলাদেশ ব্যাংকের ভেতরে এমন কেউ ছিল যারা প্রতিষ্ঠানটির নিরাপত্তা ব্যবস্থা তছনছ করে হ্যাকারদেরকে আক্রমণ করার পথ খুলে দিয়েছে? এদের কি কোন রাজনৈতিক পরিচয় আছে? ওরা কি একাত্তরের বাংলাদেশ বিরোধীদের উত্তরসূরি? ওরা কি যুদ্ধাপরাধীদের বিচার বন্ধ করার জন্য, বাংলাদেশের অর্থনীতিকে ধ্বংস করার জন্য করা কোন ষড়যন্ত্রের অংশ?
গত ১৯ মার্চ ১৬ তারিখে অনুষ্ঠিত বিএনপির জাতীয় সম্মেলনে বেগম খালেদা জিয়া বাংলাদেশ ব্যাংকের টাকা লোপাট নিয়ে একটি অপ্রয়োজনীয় বা খুবই জরুরী মন্তব্য করেছেন। তিনি এই টাকা চুরির সঙ্গে সজীব ওয়াজেদ জয়কে যুক্ত করার ইঙ্গিত দিয়েছেন। তার মতে, ছেলেকে বাঁচানোর জন্য আতিউরকে বলির পাঁঠা বানানো হয়েছে। আমার নিজের কাছে মনে হচ্ছে বিষয়টি যেন ঠাকুর ঘরে কে রে, আমি কলা খাই না। এমন তো হতে পারে বেগম খালেদা জিয়ার পুত্র তারেক রহমান বিদেশে বসে হ্যাকারদের সহযোগিতা নিয়ে এই কাজটি করেছেন। এমনও হতে পারে জামায়াতী-সন্ত্রাসীরা এর সঙ্গে যুক্ত। শেখ হাসিনা কিছুদিন ধরেই ১/১১-এর মতো আরও একটি গভীর ষড়যন্ত্রের কথা বলছিলেন। এই টাকা সরানো কি তারই কোন অংশ?
আমরা গত সাত বছরে এটি দেখে এসেছি যে বাংলাদেশ বিরোধীরা ডিজিটাল প্রযুক্তি ব্যবহারে দারুণ দক্ষ। এমনকি আন্তর্জাতিক জঙ্গী সংগঠনগুলোও ডিজিটাল প্লাটফরমকে ব্যাপকভাবে ব্যবহার করে। সম্ভবত এই ধারণা উড়িয়ে দেয়া যাবে না যে বাংলাদেশ ব্যাংকের ভেতরেই রয়েছে একাত্তরের পরাজিত শত্রুদের মিত্ররা। একই সঙ্গে এই ধারণাও উড়িয়ে দেয়া যাবে না যে এর সঙ্গে খোদ বিএনপি-জামায়াত জড়িত।
আমি মনে করি বিষয়টির গভীরে যেতে হবে এবং যারা এই কর্মকা-ের ভেতরে, আশপাশে বা নেপথ্যে রয়েছে তাদের রাজনৈতিক পরিচয়ও দেশবাসীকে জানতে হবে। বিশ্ব ব্যাংক ও আন্তর্জাতিক সংস্থাগুলো আমাদের সফলতা নিয়ে খুব খুশি যে নয় সেটি আমরা জানি। তাই তারাও কে কোথায় কিভাবে যুক্ত থেকেছে সেটিও খুঁজে বের করা দরকার।
যে বিষয়টি সবচেয়ে গুরুত্ব দিয়ে দেখা উচিত সেটি হচ্ছে বাংলাদেশ ব্যাংকের তথ্যচুরির বিষয়টি। প্রাথমিক তদন্তে এটি স্পষ্ট হয়েছে যে কেবল সুইফট সার্ভারেই হ্যাকাররা প্রবেশ করেনি। তারা আরও ৩২টি কম্পিউটারে ম্যালওয়্যার পাঠিয়েছে। সেইসব কম্পিউটার এবং তার নেটওয়ার্ক থেকে কি ধরনের তথ্য চুরি হয়েছে সেটি কি তলিয়ে দেখা হয়েছে? আমরা কেবল জেনেছি যে ব্যাংকের সিস্টেমটি হ্যাকারদের দখলে ছিল দীর্ঘ সময়। এই সময়ের মাঝে ব্যাংকের প্রায় সকল তথ্যই পাচার হতে পারে। যেহেতু এটি কোন সাধারণ প্রতিষ্ঠান নয় এবং এর তথ্যগুলোও সাধারণ নয় সেহেতু তথ্যচুরির মূল্যায়ন ও সতর্কতা গ্রহণ করা না হলে আমরা সকল দিক থেকেই বিপন্ন হয়ে পড়ব।
