এখনো সক্রিয় হ্যাকার গ্রুপ বাংলাদেশ ব্যাংকে সুইফট-আরটিজিএস সংযোগেই গলদ?

Print

024046Pic-31

একটি বিদেশি ব্যাংকসহ মোট তিনটি বেসরকারি ব্যাংককে বাংলাদেশ ব্যাংকের রিয়েলটাইম গ্রস সেটলমেন্ট বা আরটিজিএস সিস্টেমের সঙ্গে সুইফট (সোসাইটি ফর ইন্টারব্যাংক ফিন্যানশিয়াল টেলিকমিউনিকেশন) সিস্টেমে যুক্ত করেছিল বাংলাদেশ ব্যাংক। এই যৌথ ব্যবস্থাপনাকে বলা হচ্ছে সুইফট-আরটিজিএস সিস্টেম। আর এই দুই সিস্টেমকে এক করার ফলেই রিজার্ভ চুরির মতো বড় ধরনের সাইবার আক্রমণের সুযোগ তৈরি হয়েছিল কি না, সেটাই এখন তদন্তের মূল বিষয়।

এদিকে বাংলাদেশ ব্যাংকের নেটওয়ার্কে এখনো তিনটি হ্যাকিং গ্রুপ নজরদারি চালিয়ে যাচ্ছে, যাদের মধ্যে একটি দেশের রাষ্ট্রীয় সংস্থাও রয়েছে বলে ফরেনসিক তদন্ত প্রতিবেদনের বরাত দিয়ে রয়টার্স জানিয়েছে। রিজার্ভ চুরির তিন মাস পরও বাংলাদেশ ব্যাংক ঝুঁকির মধ্যে রয়েছে বলে প্রতিবেদনে মন্তব্য করা হয়েছে।

বাংলাদেশ ব্যাংকের সার্ভার হ্যাকড করে সুইফটের মাধ্যমে ভুয়া বার্তা পাঠিয়ে ১০ কোটি ১০ লাখ ডলার চুরির ঘটনায় বাংলাদেশ ব্যাংকসহ সংশ্লিষ্ট সব পক্ষের দুর্বলতা জানার চেষ্টা করছে দেশি-বিদেশি তদন্ত সংস্থা। রিজার্ভ চুরির তিন মাস পেরিয়ে গেলেও বাংলাদেশ ব্যাংকের সুইফট সিস্টেমে হ্যাকাররা কিভাবে প্রবেশ করল, তা এখনো জানতে পারেনি বাংলাদেশ ব্যাংকের নিযুক্ত ফরেনসিক তদন্তদল যুক্তরাষ্ট্রের ফায়ারআই ইনকরপোরেশন। বাংলাদেশ পুলিশের অপরাধ তদন্ত বিভাগও (সিআইডি)  এর কোনো কূলকিনারা পায়নি।

তবে বিদেশি সংবাদমাধ্যমগুলোতে বলা হচ্ছে, সুইফট সার্ভারে ত্রুটি রেখে গিয়েছিলেন টেকনিশিয়ানরা। আবার মোহাম্মদ ফরাসউদ্দিনের তদন্তদল সুইফট সার্ভারের সঙ্গে আরটিজিএসকে যুক্ত করার কারণ খুঁজে দেখছে। কারণ তাদের ধারণা, সুইফট সিস্টেমের সঙ্গে আরটিজিএসকে যুক্ত করার ফলেই সুইফট সার্ভার হ্যাকড করার মতো দুর্বলতা তৈরি হয়েছিল।

কালের কণ্ঠের অনুসন্ধানে দেখা গেছে, তিনটি ব্যাংককে আরটিজিএসের সঙ্গে যুক্ত করতে আরটিজিএস ব্যবস্থার যোগাযোগ বা কানেক্টিভিটি লিংক হিসেবে ভার্চুয়াল প্রাইভেট নেটওয়ার্ক বা ভিপিএনের পাশাপাশি সুইফটকে অন্তর্ভুক্ত করেছিল বাংলাদেশ ব্যাংক। এ বিষয়ে বাংলাদেশ ব্যাংক ও সুইফটের মধ্যে একটি সমঝোতা স্মারক (এমওইউ) করা রয়েছে। এ ছাড়া ওই তিনটি ব্যাংককে প্রযুক্তিগত সহায়তা দেওয়ার জন্য একজন সুইফট প্রতিনিধিও আনা হয়েছিল। রিজার্ভ চুরির পর ওই প্রতিনিধির এক্সেস সংরক্ষিত করা হয়েছে বলেও জানা গেছে।

জানতে চাইলে বাংলাদেশ ব্যাংকের মুখপাত্র শুভঙ্কর সাহা কালের কণ্ঠকে বলেন, ‘বাংলাদেশে বেশির ভাগ ব্যাংকই বার্তা আদান-প্রদানের জন্য সুইফট সিস্টেম ব্যবহার করে। এই সিস্টেমের দুটি কানেক্টিভিটি চ্যানেল আছে। একটি হলো ভিপিএন, অন্যটি হলো সুইফট চ্যানেল। অনেক দেশ এর একটি ব্যবহার করে। আবার কোনো কোনো দেশ দুটিই ব্যবহার করে। আমরা অনেক পরে এসে আরটিজিএস স্থাপন করেছি, কিন্তু এর আগে থেকেই অনেক ব্যাংক সুইফট সিস্টেম ব্যবহার করে আসছিল। এমন তিনটি ব্যাংক আপত্তি জানানোয় আমরা তাদের সুইফট চ্যানেল ব্যবহার করে আরটিজিএসের সঙ্গে যুক্ত হওয়ার অনুমতি দিই।’ এখানে কোনো ঝুঁকি তৈরি হয়নি বলেও জানান তিনি।

সুইফট-আরটিজিএস সিস্টেমের সুইফট চ্যানেল ব্যবহারকারী ওই তিনটি ব্যাংককে (সিটি ব্যাংক এনএ, মিউচ্যুয়াল ট্রাস্ট ও ব্র্যাক ব্যাংক) বিভিন্ন প্রযুক্তিগত (টেকনিক্যাল) বিষয়ে সহায়তা দিতে গত বছরের ৮ নভেম্বর থেকে সুইফট প্রতিনিধি নিলাভান্নান কাজ করছেন।

বাংলাদেশ ব্যাংকের রিজার্ভের হিসাব রক্ষণাবেক্ষণের দায়িত্বে থাকে অ্যাকাউন্টস অ্যান্ড বাজেটিং বিভাগের ব্যাক অফিস অব ডিলিং রুম। তারা সুইফটের বার্তাপ্রক্রিয়ার মাধ্যমে যুক্তরাষ্ট্রের ফেডারেল ব্যাংক অব নিউ ইয়র্কে (নিউ ইয়র্ক ফেড) রাখা অর্থ লেনদেন করে থাকে।

আর বাংলাদেশে কার্যরত ব্যাংকগুলোর মধ্যে দ্রুত অর্থ লেনদেনের সুযোগ করে দিতে আরটিজিএস স্থাপন করে কেন্দ্রীয় ব্যাংক। এই পদ্ধতির মাধ্যমে এক লাখ টাকা বা তার বেশি স্থানীয় মুদ্রার তাৎক্ষণিক স্থানান্তর এবং সরকারি সিকিউরিটিজ ও বিদেশি মুদ্রাভিত্তিক লেনদেন নিষ্পত্তি করা যায়। ২০১৫ সালের ২৯ অক্টোবর থেকে আরটিজিএস ব্যবহার করছে বাংলাদেশের ব্যাংকগুলো।

রিজার্ভের অর্থ চুরির ঘটনা জানাজানি হওয়ার পর গত ১৫ মার্চ ড. ফরাসউদ্দিনকে প্রধান করে তিন সদস্যের তদন্ত কমিটি গঠন করে সরকার। গত ২০ এপ্রিল কমিটি তাদের অন্তর্বর্তীকালীন প্রতিবেদন অর্থ মন্ত্রণালয়ে জমা দেয়। কমিটি তাদের সেই প্রতিবেদনে বলেছে, আরটিজিএসের দুর্বলতার কারণে হ্যাকারদের পক্ষে বাংলাদেশ ব্যাংকের সুইফট সার্ভারে ঢুকে অবৈধ পেমেন্ট আদেশ পাঠানো সম্ভব হয়েছে।

ফরাসউদ্দিনের কমিটি এখন সুইফট সিস্টেমে আরটিজিএস যুক্ত করার বিষয়টি আরো গভীরভাবে খতিয়ে দেখছে। গত বৃহস্পতিবার এ জন্য বাংলাদেশ ব্যাংকের সংশ্লিষ্ট বিভাগের কর্মকর্তাদের ডেকে  জিজ্ঞাসাবাদও করা হয়। বাংলাদেশ ব্যাংকের ব্যাক অফিসের সার্ভারের নিরাপত্তা যথাযথ ছিল কি না তারও তদন্ত চলছে।

জানা গেছে, বাংলাদেশ ব্যাংক আরটিজিএস চালু করার পর একে একে সব ব্যাংক এই সিস্টেমের সঙ্গে যুক্ত হয়। আরটিজিএসের কানেক্টিভিটি লিংক ভিপিএনের মাধ্যমে বার্তা পাঠিয়ে এই ব্যাংকগুলো আর্থিক লেনদেন করে থাকে। দেশে কার্যরত ৫৩টি ব্যাংক আরটিজিএস সিস্টেমে এলেও তিনটি ব্যাংক এতে সরাসরি যুক্ত হতে অস্বীকার করে। তাদের দাবি ছিল, তারা সুইফট সিস্টেমের মাধ্যমে ব্যাক অফিসে বার্তা পাঠাবে এবং ব্যাক অফিস আরটিজিএসকে সেই বার্তা ফরওয়ার্ড করে দেবে। বাংলাদেশ ব্যাংক সেই দাবি মেনে নিয়ে সুইফটের সঙ্গে একটি এমওইউ করে সুইফট-আরটিজিএস সিস্টেম প্রতিষ্ঠা করে। এই সিস্টেমের বার্তার কোড সুইফট কোডের থেকে ভিন্ন। সুইফটের বার্তা কোড শুরু হয় এমটি (মেসেজ টাইপ) দিয়ে, আর আরটিজিএস সিস্টেমের কোড শুরু হয় এমএক্স দিয়ে।

কালের কণ্ঠের অনুসন্ধানে দেখা গেছে, সুইফটের প্রতিনিধি নিলাভান্নানের সুইফট সিস্টেমে প্রবেশাধিকারের বিষয়ে গত বছরের ১২ নভেম্বর বাংলাদেশ ব্যাংকের অ্যাকাউন্টস অ্যান্ড বাজেটিং বিভাগ এক নোটিংয়ের মাধ্যমে পেমেন্ট সিস্টেম বিভাগের মতামত জানতে চায়।

বাংলাদেশ ব্যাংকের ব্যাক অফিস অব ডিলিং রুমের সুইফট সিস্টেমকে একটি সংবেদনশীল ও ঝুঁকিপুর্ণ এরিয়া হিসেবে উল্লেখ করে ওই সুইফট প্রতিনিধির সেখানে প্রবেশাধিকারে কিছু সতর্কতা অবলম্বন করতে পরামর্শ দেয় পেমেন্ট সিস্টেম বিভাগ। কিন্তু সেই সতর্কতা অবলম্বন করেনি ব্যাক অফিস।

গত বছরের ১৭ নভেম্বর ওই চিঠি গভর্নরের মাধ্যমে সংশ্লিষ্ট বিভাগ অর্থাৎ অ্যাকাউন্টস অ্যান্ড বাজেটিং বিভাগের কাছে পাঠানো হয়েছিল। কালের কণ্ঠের অনুসন্ধানে আরো জানা গেছে, অ্যাকাউন্টস অ্যান্ড বাজেটিং বিভাগ ওই পরামর্শ মেনে চলেনি। নিলাভান্নানকে তাঁর পছন্দমতো কাজ করতে দেওয়া হয়েছে। তা ছাড়া ব্যাংক অফিসের মতো একটি গুরুত্বপূর্ণ শাখার কোনো ‘এক্সেস লগ’ ছিল না। কে কে ঢুকল তার কোনো রেকর্ড রাখা হতো না। ছিল না কোনো ভিডিও ক্যামেরাও।

পেমেন্ট সিসটেম বিভাগ তাদের চিঠিতে চারটি পরামর্শ দিয়েছিল। এতে বলা হয়েছিল, নিলাভান্নানকে সুইফট সার্ভার রুমে প্রবেশ করতে না দিয়ে সার্ভার রুমের বাইরে ব্যাক অফিসের অন্য কোনো স্থান হয়ে ‘সিসটেম এক্সসেস’ করার ব্যবস্থা গ্রহণ করা যেতে পারে।

দ্বিতীয় পরামর্শে তারা বলেছিল, সুইফট-আরটিজিএস সিসটেমের কিছু প্রযুক্তিগত (টেকনিক্যাল) কাজ তখন বাকি ছিল বিধায় নিলাভান্নানকে শুধু ‘ভিউইং এক্সেস’ দেওয়া যেতে পারে। সিসটেমে কোনো পরিবর্তনের প্রয়োজন হলে ব্যাক অফিসের সংশ্লিষ্ট কর্মকর্তা সুইফট প্রতিনিধির সহায়তায় সে বিষয়ে ব্যবস্থা নিতে পারেন।

তৃতীয় পরামর্শে বলা হয়, সুইফট-আরটিজিএস সিসটেমের অবশিষ্ট টেকনিক্যাল অপারেশন দ্রুত শেষ করার জন্য সুইফট প্রতিনিধি নিলাভান্নানকে অনুরোধ করা যেতে পারে। সর্বশেষ পরামর্শ ছিল, সুইফট সার্ভারের নিরাপত্তার স্বার্থে ব্যাক অফিস অন্যান্য প্রয়োজনীয় নিরাপত্তামূলক পদক্ষেপ নিতে পারে।

বাংলাদেশ ব্যাংক হ্যাকিংয়ে অন্য দেশ?

বাংলাদেশ ব্যাংকের নেটওয়ার্কে এখনো তিনটি হ্যাকিং গ্রুপ নিয়মিত নজরদারি চালিয়ে তথ্য চুরি করছে, যাদের মধ্যে একটি দেশের রাষ্ট্রীয় একটি সংস্থাও রয়েছে বলে ফরেনসিক তদন্ত প্রতিবেদনের বরাত দিয়ে রয়টার্স জানিয়েছে। তবে কোন দেশ থেকে নজরদারি চালিয়ে ‘তথ্য চুরি’ করা হচ্ছে তা জানা যায়নি।

গত ফেব্রুয়ারিতে সাইবার হামলা চালিয়ে রিজার্ভের ৮১ মিলিয়ন ডলার হাতিয়ে নেওয়ার পর ঘটনা তদন্তের জন্য যুক্তরাষ্ট্রভিত্তিক সাইবার সিকিউরিটি কম্পানি ওয়ার্ল্ড ইনফরমেটিক্স ও ফায়ার আইকে নিয়োগ করে বাংলাদেশ ব্যাংক। তাদের প্রতিবেদনের একটি অংশ হাতে পাওয়ার কথা জানিয়েছে রয়টার্স।

প্রতিবেদনে বলা হয়েছে, রিজার্ভ চুরির তিন মাস পরও বাংলাদেশ ব্যাংক ঝুঁকির মধ্যে রয়েছে বলে তদন্তকারীরা মনে করছেন। সেখানে মন্তব্য করা হয়েছে—‘এখনো কিছুটা ঝুঁকি রয়েছে, যা গভর্নর ও বোর্ডের বোঝা উচিত। বলা যায় যে বাংলাদেশ ব্যাংকের নেটওয়ার্ক এখনো নিরাপদ নয় এবং হ্যাকারদের ক্ষতি করার সম্ভাবনা রয়েছে।’

রয়টার্স বলছে, তদন্তের ওই তথ্য যিনি দিয়েছেন, তিনি পুরো প্রতিবেদন পড়তে দেননি। কারণ হিসেবে বলেছেন, কিছু বিষয় প্রকাশ হলে তা অপরাধীদের ধরা এবং চুরি যাওয়া অর্থ উদ্ধারে ‘বহুজাতিক প্রচেষ্টায়’ বিঘ্ন ঘটাতে পারে।

রিজার্ভ চুরির তদন্ত চলমান থাকায় বাংলাদেশ ব্যাংক কর্তৃপক্ষ কোনো বক্তব্য দিতে অস্বীকার করেছে বলে জানিয়েছে রয়টার্স।

ওই প্রতিবেদনের বিষয়ে জানতে চাইলে একজন মুখপাত্র রয়টার্সকে বলেন, ‘এই বিষয়টিসহ পুরো বিষয়গুলো তদন্ত করতে আমরা ফরেনসিক বিশেষজ্ঞদের যুক্ত করেছি।’

প্রতিবেদনে হ্যাকারদের একটি গ্রুপকে ‘গ্রুপ জিরো’ নামে চিহ্নিত করে বলা হয়েছে, তারা এখনো বাংলাদেশ ব্যাংকের নেটওয়ার্কে নজর রেখেছে বলে তদন্তকারীরা নিশ্চিত হয়েছেন। তবে এই গ্রুপ নতুন করে তহবিল স্থানান্তরের কোনো ভুয়া বার্তা পাঠাতে পারবে না বলেই তদন্তকারীদের বিশ্বাস।

এ ছাড়া সুইফটের সঙ্গে বাংলাদেশ ব্যাংককে যুক্ত করা ওই নেটওয়ার্কে অন্য দুটি হ্যাকার গ্রুপের যাতায়াত রয়েছে বলে প্রতিবেদনে জানানো হয়েছে।

রয়টার্স লিখেছে, এই দুই গ্রুপের একটি কোনো এক দেশের রাষ্ট্রীয় সংস্থা। তারা তথ্য চুরি করলেও এই মুহূর্তে অন্য কোনো ক্ষতি করছে না বলে বিশেষজ্ঞরা প্রতিবেদনে জানিয়েছেন।

চলতি মাসের প্রথম দিকে জমা দেওয়া এই প্রতিবেদনে হ্যাকার গ্রুপগুলোর কোনোটি সম্পর্কে এর বেশি পরিচয় দেওয়া হয়নি বলে রয়টার্স জানিয়েছে।

তবে এই তদন্তের বরাত দিয়ে মঙ্গলবার বিশ্বের বাণিজ্যবিষয়ক অন্যতম শীর্ষ সংবাদমাধ্যম ব্লুমবার্গ নিউজ জানায়, বাংলাদেশ ব্যাংকে হামলায় জড়িত তিনটি হ্যাকার গ্রুপের একটি পাকিস্তান এবং একটি উত্তর কোরিয়ার।

রয়টার্স বলছে, সুইফটের একজন মুখপাত্রের কাছে তদন্ত প্রতিবেদনের বিষয়ে বক্তব্য জানতে চাইলে তিনি কোনো মন্তব্য করেননি। তবে বাংলাদেশ ব্যাংকে যেভাবে সাইবার হামলা হয়েছিল একই কায়দায় একটি বাণিজ্যিক ব্যাংকে ম্যালওয়ার হামলার বিষয়ে বৃহস্পতিবার খবর দিয়েছে সুইফট।

প্রতি মুহুর্তের সর্বশেষ খবর পেতে এখানে ক্লিক করে আমাদের ফেইসবুক পেইজে লাইক দিন

(লেখাটি পড়া হয়েছে 87 বার)


Print
এই পাতার আরও সংবাদ