রিজার্ভ চুরি: নিরাপত্তা ভেঙেছিল হ্যাকাররা, স্বীকার করল সুইফট

বাংলাদেশ ব্যাংকের আট কোটি ১০ লাখ ডলার চুরির ক্ষেত্রে সুইফটের প্ল্যাটফর্ম ব্যবহার করেই চোরেরা সাইবার নিরাপত্তা ভেঙেছিল বলে মনে করছে বিএই সিসটেমস নামের একটি ব্রিটিশ প্রতিষ্ঠান।

নিউজ ডেস্কবিডিনিউজ টোয়েন্টিফোর ডটকম
Published : 25 April 2016, 07:55 AM
Updated : 25 April 2016, 02:31 PM

আর বিশ্বজুড়ে ১১ হাজার ব্যাংককে যুক্ত করা  সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাংক ফাইন্যান্সিয়াল টেলিকমিউনিকেশনের (সুইফট) একজন মুখপাত্র বার্তা সংস্থা রয়টার্সকে বলেছেন, তাদের ক্লায়েন্ট সফটওয়্যারকে টার্গেট করে ম্যালওয়্যার বসানোর বিষয়ে তারা নিশ্চিত হয়েছেন।

সুইফট মুখপাত্র নাতাশা দেতেরান জানিয়েছেন, ওই ম্যালওয়্যারকে অকার্যকর করতে তারা সোমবারই একটি সফটওয়্যার আপডেট দেবেন। সেইসঙ্গে সুইফটে সংযুক্ত আর্থিক প্রতিষ্ঠানগুলোকে তাদের সাইবার নিরাপত্তা পরিস্থিতি পর্যালোচনা করে দেখার বিষয়ে সতর্ক করা হবে।

গত ফেব্রুয়ারির শুরুতে সুইফট সিস্টেম ব্যবহার করে ৩৫টি ভুয়া বার্তা পাঠিয়ে যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্ক থেকে প্রায় এক বিলিয়ন ডলার সরানোর চেষ্টা হয়।

এর মধ্যে চারটি মেসেজের মাধ্যমে ফিলিপিন্সের একটি ব্যাংকে সরিয়ে নেওয়া হয় ৮ কোটি ১০ লাখ ডলার। আর একটি মেসেজের মাধ্যমে শ্রীলঙ্কার একটি ‘ভুয়া’ এনজিওর নামে ২০ মিলিয়ন ডলার সরিয়ে নেওয়া হলেও বানান ভুলের কারণে সন্দেহ হওয়ায় শেষ মুহূর্তে তা আটকে যায়। 

ইতিহাসের অন্যতম বৃহৎ এই সাইবার জালিয়াতির ঘটনা জানাজানি হলে ফেব্রুয়ারির শুরুতে বিশ্বজুড়ে আলোড়ন সৃষ্টি হয়।  ঢাকায় এসে বাংলাদেশ ব্যাংকের ব্যবহৃত সুইফট সিস্টেম পরীক্ষা করে যান তাদের দুই কর্মকর্তা। 

সুইফট অবশ্য সে সময় দাবি করেছিল, বাংলাদেশ ব্যাংকের অর্থ লোপাটের ঘটনায় তাদের সিস্টেমের কোনো দুর্বলতা ছিল না।

তবে রয়টার্স লিখেছে, রিজার্ভ চুরির পর নতুন যেসব তথ্য বেরিয়ে আসছে, তাতে আন্তর্জাতিক অর্থ লেনদেন কাঠামোর এই দুর্বলতা হয়তো এতোদিনের ধারণার চেয়ে বেশিই নাজুক।  

সুইফট মুখপাত্র দেতেরান রয়টার্সকে বলেছেন, ক্লায়েন্ট ব্যাংকগুলোর ডেটাবেইজে সংরক্ষিত তথ্যে যদি কোনো অসামঞ্জস্য তৈরি হয়, তা চিহ্নিত করে ঠিক করার কাজে সহায়ক হবে নতুন সফটওয়্যার আপডেট।   

.

‘নজিরবিহীন পরিকল্পনা’

রয়টার্স জানিয়েছে, বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার ‘অ্যালায়েন্স একসেস’ থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক ঢাকতে যে ম্যালওয়্যার চোরেরা ব্যবহার করেছিলে, তা খুঁজে বের করার কথা দাবি করেছে সাইবার নিরাপত্তা বিষয়ক সেবাদানকারী প্রতিষ্ঠান বিএই সিসটেমস।

এ ঘটনার তদন্তে যুক্ত কর্মকর্তারা বলে আসছিলেন, হ্যাকাররা বাংলাদেশ ব্যাংকের সার্ভারে ঢুকে ক্রেডেনশিয়াল (পাসওয়ার্ড, কোড ) চুরি করে এবং তা ব্যবহার করে সুইফট সিস্টেমে ঢোকে বলে তারা মনে করছেন। 

কিন্তু বিএইর গবেষকরা বলছেন, বাংলাদেশ ব্যাংকের কম্পিউটারে সুইফটের যে সফটওয়্যার ছিল, সম্ভবত তার নিরাপত্তা হ্যাকাররা ভেঙেছিল। তারা তা করেছিল নিজেদের অবৈধ লেনদেনের তথ্য মুছে ফেলার জন্য।  

বিএইর থ্রেট ইনটেলিজেন্স বিভাগের প্রধান আদ্রিয়ান নিশ রয়টার্সকে বলেছেন, কোনো অপরাধ করার আগে হ্যাকারদের এরকম সুচারু পরিকল্পনার ঘটনা এর আগে তিনি দেখেননি। 

“আমি কোনো ঘটনার কথা মনে করতে পারি না, যেখানে অপরাধীরা তাদের কাজের ক্ষেত্র অনুযায়ী এটা (ম্যালওয়্যার) সাজিয়ে নেওয়ার মতো পর্যায়ে গেছে। আমার ধারণা, লাভের অংকটা মাথায় রেখেই তারা এতোদূর ভেবেছে।”

দেতেরান অবশ্য দাবি করেছেন, ওই ম্যালওয়্যারের কারণে সুইফট নেটওয়ার্ক বা মূল মেসেজিং সিস্টেমের নিরাপত্তার কোনো ক্ষতি হয়নি।

তিনি বলেছেন, বিশ্বের ১১ হাজার ব্যাংক ও  আর্থিক প্রতিষ্ঠান সুইফটের মেসেজিং প্ল্যাটফর্ম ব্যবহার করলেও  বাংলাদেশ ব্যাংকের মতো খুব কম প্রতিষ্ঠানই অ্যালায়েন্স একসেস সফটওয়্যারটি ব্যবহার করে।  

“আমাদের ইন্টারফেইস প্রোডাক্টগুলো সব পর্যালোচনার পাশাপাশি আমরা অন্যদেরও পরামর্শ দেব, যেন তারা একই কাজ করেন। এ ধরনের পরিস্থিতিতে প্রতিরক্ষার একমাত্র উপায় হলো- স্থানীয় পরিবেশ অনুযায়ী যথাযথ নিরাপত্তার ব্যবস্থা নেওয়া,” বলেন দেতেরান।   

বাংলাদেশে রিজার্ভ চুরির তদন্তে থাকা পুলিশের অপরাধ তদন্ত বিভাগের (সিআইডি) এক কর্মকর্তার বরাত দিয়ে রয়টার্স জানিয়েছে, বিএই যে ম্যালওয়্যারের কথা বলছে, তার খোঁজ এ দেশের তদন্তকারীরা এখনও পাননি। তবে ফরেনসিক বিশেষজ্ঞদের তদন্ত এখনও শেষ হয়নি।

পুলিশের তদন্ত কর্মকর্তাদের বরাত দিয়ে গত সপ্তাহে কেন্দ্রীয় ব্যাংকের সাইবার নিরাপত্তার নাজুক দশা তুলে ধরা হয় রয়টার্সের আরেক প্রতিবেদনে। সেখানে বলা হয়, ফায়ারওয়ালের মতো প্রাথমিক ব্যবস্থাও কেন্দ্রীয় ব্যাংকের নেই, সেখানে ব্যবহার করা হয়েছে স্থানীয় বাজার থেকে সস্তায় কেনা সরঞ্জাম, যা ঝুঁকি বাড়িয়ে দিয়েছে। 

সিআইডির ফরেনসিক ট্রেনিং ইনস্টিটিউটের প্রধান মোহাম্মদ শাহ আলম অবশ্য বাংলাদেশ ব্যাংকের পাশাপাশি সুইফটকেও নিরাপত্তার এই দুর্বলতার জন্য দায়ী করেছেন। 

রয়টার্সকে তিনি বলেন, “ত্রুটিগুলো ধরিয়ে দেওয়া তাদের (সুইফট) দায়িত্ব ছিল। কিন্তু আমরা এমন কিছু পাইনি, যেখানে ঘটনা ঘটে যাওয়ার আগে এ বিষয়ে কোনো পরামর্শ দেওয়া হয়েছে।” 

বাংলাদেশ ব্যাংকের রিজার্ভ চুরির প্রেক্ষাপটে নিজেদের অনুসন্ধানের বিষয়ে বিএই একটি বার্তা প্রকাশ করবে বলে জানিয়েছে রয়টার্স। সেখানে মিশরের একটি আইপি অ্যাড্রেসের কথাও থাকবে, যেখান থেকে বাংলাদেশ ব্যাংকের সুইফট কার্যক্রমের ওপর নজর রাখা হতো।

ম্যালওয়্যার

বাংলাদেশ ব্যাংকের রিজার্ভ চুরির জন্য যে সাইবার অ্যাটাক চালানো হয়েছে, তার বিস্তারিত কারিগরি তথ্য এখনও প্রকাশ করা হয়নি।

তবে বিএই বলছে, তারা অনলাইনে সেই ম্যালওয়্যারটি শনাক্ত করেছে, যা চুরির সঙ্গে সম্পর্কিত। সেই ম্যালওয়্যারটি বাংলাদেশ থেকেই কেউ একজন অনলাইনে ম্যালওয়্যার রেসপিরেটরিতে তোলেন।

এ ধরনের রেসপিরেটরিগুলো সারা বিশ্ব থেকে গবেষক, ব্যবসায়ী, সরকার ও বিভিন্ন সংস্থা বা ব্যক্তি পর্যায়ে নতুন নতুন নমুনা সংগ্রহ করে থাকে, যাতে ভবিষ্যতের হুমকি মোকাবেলা করা সহজ হয়।   

বিএইর গবেষকরা বলছেন, বড় ধরনের কোনো সাইবার হামলা পরিকল্পনার একটি অংশ evtdiag.exe  নামের এই ম্যালওয়্যার। এই ম্যালওয়্যারে এমন কিছু বৈশিষ্ট যোগ করা হয়েছে, যার মাধ্যমে নির্দিষ্ট দেশের সুইফট অ্যালায়েন্স একসেস সফটওয়্যারে যোগাযোগ করা যায়। আবার বাংলাদেশ ব্যাংকের সুইফট সার্ভার থেকে অর্থ স্থানান্তরের ভুয়া আদেশ পাঠানোর পর সেই তথ্য মুছে ফেলার ব্যবস্থাও এতে রাখা হয়েছে।

এই ম্যালওয়্যার ব্যবহার করে সার্ভারে রাখা অ্যাকাউন্ট ও লেনদেনের তথ্যে পরিবর্তন আনা, এমনকি সুইফট থেকে আসা বার্তা বদলে দিয়ে ভুয়া বার্তা প্রিন্ট করারও সুযোগ রাখা হয়েছে বলে বিএইর তথ্য।

রয়টার্স লিখেছে, বাংলাদেশ ব্যাংকের সার্ভারের ক্রেডেনশিয়াল চুরি করার পর ওই ম্যালওয়্যার বসানো হয়। তবে হ্যাকাররা ঠিক কীভাবে অর্থ স্থানান্তরের আদেশ যুক্তরাষ্ট্রে পাঠিয়েছিল, তা এখনো স্পষ্ট নয়।    

এ সম্পর্কিত আরও খবর-