আন্তর্জাতিক হ্যাকারদের মাধ্যমে ২০১৬ সালের ৪ ফেব্রুয়ারি রাতের আঁধারে বাংলাদেশ ব্যাংকের ফেডারেল রিজার্ভ অ্যাকাউন্ট হ্যাক করে ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ মার্কিন ডলার ‘লুট’ করা হয়।
এতে সব ধরনের সহায়তা করেন বাংলাদেশ ব্যাংকের গুরুত্বপূর্ণ দুটি বিভাগের কর্মকর্তারা। হ্যাকিংয়ের মাধ্যমে ‘দেশের জনগণের কষ্টার্জিত রিজার্ভ’ সরানোর নীলনকশা তারাই চূড়ান্ত করেন। ছক অনুযায়ী ‘আরটিজিএস’ নামে একটি প্রকল্প হাতে নেওয়া হয়। এর সঙ্গে সুইফট প্রক্রিয়ার সংযোগ স্থাপন করে হ্যাকিংয়ের সূত্রপাত ঘটে। উদ্দেশ্যপ্রণোদিতভাবে রিজার্ভ হাতিয়ে নেওয়ার পুরো বিষয়টি ২৪৪ দিন গোপন রাখেন তৎকালীন গভর্নর ড. আতিউর রহমান।
রাষ্ট্রের এত বড় অঙ্কের অর্থ ভয়াবহভাবে হ্যাকিং ও জালিয়াতির মাধ্যমে লুটের ঘটনায় থানায় সাধারণ ডায়েরি (জিডি) করতেও নিষেধ করেন তিনি। সন্দেহজনক ব্যক্তির নামে ৩৫টি পেমেন্ট হওয়ায় যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্ক (এফআরবিএনওয়াই) ফান্ড ট্রান্সফার বন্ধ করে বাংলাদেশ ব্যাংকের কাছে ব্যাখ্যা চেয়েছিল। কিন্তু বাংলাদেশ ব্যাংক থেকে তেমন কোনো তাগিদ দেখানো হয়নি। হ্যাকিংয়ের ২৫ দিন পর ম্যানিলার দ্য ইনকোয়ারার পত্রিকার খবরে হ্যাকিংয়ের মাধ্যমে লোপাটের তথ্য জানতে পারে বাংলাদশের মানুষ।
এটি শুধু ছোটখাটো চুরি নয়-হ্যাকিংয়ের মাধ্যমে ‘ডাকাতি ও লুটের’ বড় ধরনের ঘটনা। এ ঘটনায় জড়িতদের বিরুদ্ধে ব্যবস্থা নিতে প্রধানমন্ত্রীকে বলেছিল তদন্ত কমিটি। কিন্তু আট বছরেও জড়িতদের বিরুদ্ধে দৃশ্যমান কোনো ব্যবস্থা নেওয়া হয়নি। হ্যাকিং করে রিজার্ভ থেকে অর্থ সরানোর পরিকল্পনা শুরু হয় ২০১৫ সালের ২৫ মার্চ থেকে। দীর্ঘ এই পরিকল্পনায় জড়িত বাংলাদেশ ব্যাংকের অ্যাকাউন্টস ও বাজেটিং বিভাগের কর্মকর্তারা। তারা রিজার্ভের গোপন তথ্য সাইবার অপরাধীদের হাতে তুলে দেন। গোপনীয়তা রক্ষা না করে সরকারের মাধ্যমে দ্য ফিলিপিন্স সরকারের সঙ্গে ৫ বা ৬ ফেব্রুয়ারিই বিষয়টি উত্থাপন করা যেত। যৌথ উদ্যোগ নিলে ফান্ড হস্তান্তর ঠেকানো সম্ভব হতো।
বাংলাদেশ ব্যাংকের সাবেক গভর্নর ড. মোহাম্মদ ফরাসউদ্দিনের নেতৃত্বে গঠিত উচ্চপর্যায়ের তদন্ত কমিটির ৬১ পৃষ্ঠার প্রতিবেদনে উল্লিখিত সব বিষয় তুলে ধরা হয়। প্রতিবেদনের পূর্ণাঙ্গ কপি এখন যুগান্তরের হাতে। এর আগে ২০১৯ সালের ১৪ জানুয়ারি তদন্ত কমিটির প্রতিবেদনের অংশবিশেষ নিয়ে যুগান্তর একটি বিশেষ প্রতিবেদন করলে এ প্রতিবেদকসহ যুগান্তর-যমুনা কর্তৃপক্ষের ওপর রাষ্ট্রীয় হয়রানি নেমে আসে। য
দিও তৎকালীন অর্থমন্ত্রী আবুল মাল আবদুল মুহিত একাধিকবার বলেছিলেন, রিজার্ভ চুরির তদন্ত রিপোর্ট জনগণকে অবহিত করা হবে। কিন্তু পরে তা গোপন করা হয়। সম্প্রতি দুর্নীতি দমন কমিশন (দুদক) থেকে রিজার্ভ চুরির ঘটনা তদন্তের জন্য উদ্যোগ নেওয়া হয়। বিষয়টি যুগান্তরকে নিশ্চিত করেছেন সংস্থাটির চেয়ারম্যান ড. এমএ মোমেন। বাংলাদেশ ব্যাংকের রিজার্ভ থেকে হাতিয়ে নেওয়া অর্থ থেকে ১৮ মিলিয়ন ডলার উদ্ধার করা হলেও বাকি বিশাল অঙ্কের অর্থ এখনো বেহাত।
এ ঘটনায় যুক্তরাষ্ট্রের তদন্ত সংস্থা এফবিআই তদন্ত করেছিল। তদন্তের সঙ্গে যুক্ত এক কর্মকর্তা বলেছিলেন, রাষ্ট্রীয় সহায়তায় বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ঘটনা ঘটে। গেল ৩১ ডিসেম্বর বাংলাদেশে নবনিযুক্ত ফিলিপাইনের রাষ্ট্রদূত রাষ্ট্রপতি মো. সাহাবুদ্দিনের কাছে তার পরিচয়পত্র পেশকালে রিজার্ভ চুরির সম্পূর্ণ অর্থ দেশে ফিরিয়ে আনতে ফিলিপাইনের সহায়তা চাওয়া হয়।
রিজার্ভ চুরির ঘটনার ৩৯ দিন পর বাংলাদেশ ব্যাংকের করা মামলার তদন্ত চলছে আট বছর ধরে। অপরাধ তদন্ত সংস্থা-সিআইডি এখনো এ ঘটনায় জড়িতদের বিরুদ্ধে চার্জশিট দেয়নি। ড. মোহাম্মদ ফরাসউদ্দিনের নেতৃত্বে গঠিত তদন্ত কমিটির অপর সদস্য হলেন-প্রফেসর ড. মোহাম্মদ কায়কোবাদ ও গকুল চাঁদ দাস। প্রতিবেদনে বাংলাদেশ ব্যাংকের গভর্নরসহ জড়িত কর্মকর্তাদের সম্পৃক্ততার বিষয়টি তুলে ধরে তাদের বিরুদ্ধে ফৌজদারি দায় আনার বিষয়ে মতামত ব্যক্ত করেন। এতে বেশকিছু সুপারিশও করা হয়। কীভাবে ভবিষ্যতে এ ধরনের ঘটনা রোধ করা যাবে, এ বিষয়ে পরামর্শ দেওয়া হয়।
প্রতিবেদনে বলা হয়, বাংলাদেশ ব্যাংকের অ্যাকাউন্টস অ্যান্ড বাজেটিং ডিপার্টমেন্টের (এবিডি) ডিলিং রুমের ব্যাক অফিস থেকে সহকারী পরিচালক শেখ রিয়াজ উদ্দিন (সুইফট বার্তার মাধ্যমে ফান্ড ট্রান্সফারের ক্ষমতাপ্রাপ্ত আটজনের একজন) ২০১৬ সালের ৪ ফেব্রুয়ারি সন্ধ্যা সোয়া ৭টায় সার্ভার লগআউট করেন। কিন্তু এর আগে প্রচলিত নিয়ম অনুসারে ১৮টি সুইফট বার্তার মাধ্যমে ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্ক (এফআরবিএনওয়াই) ৩১ কোটি ৯৭ লাখ ১ হাজার ২০১ মার্কিন ডলার পেমেন্ট ইনস্ট্রাকশন দেন।
এ থেকে দেখা যায়, মানি মার্কেটে বিনিয়োগের জন্য প্রতিটি মার্কিন ডলার মূল্যমানের চারটি খুব বড় মাপের ফান্ড স্থানান্তরের জন্য সুইফট বার্তা শেখ রিয়াজ উদ্দিন প্রেরণ করেছিলেন। সন্ধ্যা সোয়া ৭টায় লগআউট করে শেখ রিয়াজ উদ্দিন ৮টা ৩ মিনিটে অফিস ত্যাগ করেন। এরপর কে বা কারা শেখ রিয়াজ উদ্দিনের ইউজার নেম ও পাসওয়ার্ড ব্যবহার করে ৪ ফেব্রুয়ারি রাত ৮টা ৩৬ মিনিট থেকে ৫ ফেব্রুয়ারি ভোর ৩টা ৫৯ মিনিট পর্যন্ত ফেডারেল রিজার্ভ ব্যাংককে ৩৫টি অননুমোদিত সুইফট বার্তা পাঠান। এর মাধ্যমে চারজন ব্যক্তি বেনিফিশিয়ারির কাছে বিভিন্ন ইন্টারমিডিয়ারি ব্যাংক দিয়ে মোট ৯৫ কোটি ১০ লাখ ৬ হাজার ৮৮৬ মর্কিন ডলারের বৈদেশিক মুদ্রা স্থানান্তরের আদেশ দেন।
ফেডারেল রিজার্ভ ব্যাংক ও বাংলাদেশ ব্যাংকের স্টপ পেমেন্ট বার্তা তাদের হাতে গেলেও ফিলিপাইনের আরসিবিসি (ব্যাংক) মাকাতি শাখা ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ মার্কিন ডলার চারজন ব্যক্তি প্রাপকের প্রশ্নবিদ্ধ ভুয়া ব্যাংক অ্যাকাউন্টে পাঠায়। পরে সে অর্থ ক্যাসিনো ও জাঙ্ক অপারেটরদের হাতে চলে যায়। অর্থাৎ নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকের মনে সন্দেহ জাগা সত্ত্বেও পাঁচটি অননুমোদিত সুইফট বার্তার পেমেন্ট ইনস্ট্রাকশন তামিল করা হয়। ম্যানিলার আরসিবিসি (ব্যাংক) স্টপ পেমেন্ট অগ্রাহ্য করে তা বাস্তবায়ন করে ফেলে। তখন সুইফট লাইভ সার্ভারে দূরবর্তী কোনো টার্মিনাল থেকে সংযোগ করতে পারার ঘটনা সাইবার দস্যুরা পর্যবেক্ষণ করেছিল।
বাংলাদেশ ব্যাংকের রিজার্ভ থেকে অনুমোদিতভাবে পেমেন্ট ইনস্ট্রাকশন ইস্যু করার ফলে অর্থ লুটের ঘটনায় অধস্তন কর্মকর্তারা গভর্নরকে থানায় জেনারেল ডায়েরি (জিডি) করতে অনুরোধ করলেও তিনি গ্রাহ্য করেননি। গভর্নর যুক্তি দেখান, জিডি করলে আমাদের কর্মকর্তারা হয়রানির মধ্যে পড়বেন। জিডির কপি সংযুক্ত করে অর্থ মন্ত্রণালয়ে প্রধানমন্ত্রীর কার্যালয়ে জানানোর কথা বললে গভর্নর বলেছিলেন, ‘অর্থমন্ত্রী কোথায় কী বলে ফেলেন ঠিক নেই।’ এ সম্পর্কে গভর্নর আতিউর রহমানের প্রতিক্রিয়া জানার সুযোগ পায়নি তদন্ত কমিটি।
প্রতিবেদনে বলা হয়, ৪ ফেব্রুয়ারি ফেডারেল রিজার্ভ ব্যাংকে রক্ষিত বাংলাদেশের জনগণের সম্পত্তি বৈদশিক মুদ্রায় রিজার্ভ থেকে প্রায় এক বিলিয়ন ডলার অবৈধভাবে স্থানান্তর তথা ‘ডাকাতিতে’ অপারগ হলেও ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ ডলার চুরি করে আরসিবিসি ম্যানিলায় চারটি ভুয়া অ্যাকাউন্টে পাঠিয়ে দেয় দুষ্কৃতকারী-ষড়যন্ত্রকারী মহল। একজন বিদেশি কর্তৃপক্ষীয় লোকের পরামর্শ এবং অনিশ্চিত আশ্বাসের ভিত্তিতে সাবেক গভর্নর দেশীয় কোনো আইনানুগ কর্তৃপক্ষকে বিষয়টি ১ মার্চ পর্যন্ত না জানানোর সিদ্ধান্ত নেন।
এমনকি বাংলাদেশ ব্যাংকের পরিচালনা পর্ষদকেও জানানোর প্রয়োজন মনে করেননি। তবে ওই বছর (২০১৬) ২৯ ফেব্রুয়ারি ম্যানিলার দ্য ইনকোয়ারার পত্রিকার মাধ্যমে দেশের কর্তৃপক্ষ, দেশবাসী ও অন্যরা দুনিয়া কাঁপানো কেন্দ্রীয় ব্যাংকের রিজার্ভ থেকে হ্যাক করে নেওয়া অর্থের বিষয়টি জানতে পারে। সাইবার অপরাধীরা ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ মার্কিন ডলার লোপাট করেছে, এ ঘটনা সম্পর্কে দেশের মানুষ অবগত হয়।
বাংলাদেশ ব্যাংকের রহস্যজনক আরটিজিএস প্রকল্পের বিষয়ে প্রতিবেদনে গুরুত্বপূর্ণ তথ্য তুলে ধরা হয়। বলা হয়, স্থানীয়ভাবে আদান-প্রদানের জন্য ব্যবহৃত আরটিজিএস-এর নিরাপত্তা সুরক্ষা সংবলিত বৈদেশিক মুদ্রা লেনদেনে সুইফট সিস্টেমের সঙ্গে বাংলাদেশ ব্যাংকের প্রায় পাঁচ হাজার কম্পিউটার এবং এমটিবি, ব্র্যাক ব্যাংক ও সিটিএন-এর কয়েক হাজার কম্পিউটারের লোকাল এরিয়া নেটওয়ার্ক (এলএএন) করা; এমনকি কোনো বিশেষজ্ঞ মতামত না নিয়ে সংযুক্তিটি মোটেই ঠিক হয়নি।
ভিপিএন-এর সঙ্গে সুইফটের সহযাত্রায় এন্টিভাইরাসকে মূলোৎপাটন করা এবং সুইফট সার্ভার সব সময় খোলা রাখার বিষয়টি ছিল স্পর্শকাতর। বাংলাদেশ ব্যাংকের অন্তত দুজন কর্মকর্তা ৪ ফেব্রুয়ারি রাতে রিজার্ভের ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ মার্কিন ডলার ডাকাতির ক্রাইমটি সংঘটিত হওয়ার পথ প্রশস্ত করেছেন বলে যথেষ্ট তথ্যপ্রমাণ রয়েছে। সুইফট কর্তৃক বাংলাদেশ ব্যাংক ও আরটিজিএস-এর সঙ্গে সুইফট সংযোগ হস্তান্তর বুঝিয়ে দেওয়ার নামে মি. নীলাভান্নন নামে একজনের সন্দেহজনক মিশন শুরু হয়। যার মধ্যে বাংলাদেশ ব্যাংকের সংশ্লিষ্ট শাখার কর্মকর্তা জুবায়ের বিন হুদা ও সালেহীনের ইউজার আইডি ও পাসওয়ার্ড ব্যবহার করে সিস্টেমে কাজ করার সময় মাঝেমধ্যো একা, ফিঙ্গার স্ট্রোক, পাসওয়ার্ড ও অন্যান্য গুরুত্বপূর্ণ সংকেত জেনে যাওয়া সম্ভব ছিল।
৪ ফেব্রুয়ারি বৃহস্পতিবার ঢাকায় রাত। নিউইয়র্কে সকাল (যখন ঢাকায় সাপ্তাহিক ছুটি শুরু হয়ে গেছে) এবং ৬, ৭ ও ৮ ফেব্রুয়ারি ম্যানিলায় সম্প্রসারিত ছুটির সুযোগে চাঞ্চল্যকর অপরাধটি ঘটানো যাবে-এমন সুযোগটি কাজে লাগানো হয়। বাংলাদেশ ব্যাংকের ব্যাক অফিস অপরাধীদের কাজের সুবিধা করে দিয়েছে।
প্রতিবেদনে বলা হয়, ২০১৫ সালের অক্টোবর থেকেই সাইবার অপরাধীদের প্রস্তুতি নেওয়ার বার্তা ও সুযোগ করে দেওয়া হয়। ২০১৬ সালের ১৯ বা ২০ জানুয়ারি সুইফট সিস্টেমে একটি ম্যালওয়ার ঢুকিয়ে দেওয়া হয়, যেটি শুধু বাংলাদেশ ব্যাংকের রিজার্ভ চুরিতে ইউজার আইডি ও পাসওয়ার্ড কপি করে নিতে উৎসাহিত করেছে। আর সেটিই ৪ ফেব্রুয়ারি গভীর রাতে ৩৫টি অননুমোদিত বার্তার মাধ্যমে ফেডারেল রিজার্ভ ব্যাংককে ফান্ড স্থানান্তরে সহায়তা করেছে।
২০১৬ সালের ফেব্রুয়ারির শুরুতে যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংকে রক্ষিত বাংলাদেশ ব্যাংকের বৈদেশিক মুদ্রার রিজার্ভ থেকে অননুমোদিত সুইফট বার্তার মাধ্যমে ৮ কোটি ১০ লাখ ১ হাজার ৬২৩ মার্কিন ডলার আরসিবিসির মাধ্যমে চুরি হয়ে যাওয়ার দায় সুইফট অস্বীকার করতে পারবে না। বাংলাদেশ ব্যাংকের আরটিজিএস-এর সঙ্গে সুইফটের নেটওয়ার্কের ফলে নেটওয়ার্কের যে কোনো কম্পিউটার থেকেই ইতঃপূর্বে ম্যালওয়ারের মাধ্যমে হ্যাক হওয়া কর্মকর্তা রিয়াজ উদ্দিনের পাসওয়ার্ড ও ইউজার আইডি দিয়ে ওই অবৈধ বার্তাগুলো পাঠানো হয় বলেই মনে হচ্ছে। ৪ ফেব্রুয়ারি অননুমোদিত বার্তাগুলোও মুছে ফেলা হয়। সেজন্যই সেগুলো সুইফট উদ্ধার করতে পারেনি।
৩ ফেব্রুয়ারি কর্মকর্তা সালেহীনের ল্যাপটপ লগবার্তাগুলো মুছে ফেলা, ৪ ফেব্রুয়ারি রাত ৮টা ৩৬ মিনিটে অথবা ১টা ২০ মিনিটে ৩৫টি অননুমোদিত বার্তায় ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্ককে পেমেন্ট ইনস্ট্রাকশন পাঠানো এবং ৫ ফেব্রুয়ারি ভোর ৪টা ২৩ মিনিটে সুইফট সার্ভার থেকে লগআউট করা-এসব ঘটনা যখন সংঘটিত হয়, তখন ডেপুটি ডাইরেক্টর মুখলেসুর রহমান ডেটা সেন্টারে উপস্থিত ছিলেন বলে প্রতিবেদনে বলা হয়। এতে আরও বলা হয়, ৪ ফেব্রুয়ারি বৃহস্পতিবার সকাল ১০টা ৩৬ মিনিট থেকে সন্ধ্যা ৫টা ৫৯ মিনিট পর্যন্ত ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্ক বাংলাদেশ ব্যাংকের রিজার্ভ থেকে সুইফটের মাধ্যমে ৩৫টি পেমেন্টের ইনস্ট্রাকশন পায়।
আপাত মনে হতে পারে, তা অথরাইজড ব্যক্তির কাছ থেকে এসেছে। আসলে তা নয়। প্রথমে ১২টি এবং এর পরপরই ১২টিসহ ৩৫টি বার্তায় রিজার্ভ থেকে ফান্ড ট্রান্সফারের অনুরোধ করা হয়। এ সম্পর্কে ফেডারেল রিজার্ভ ব্যাংকের সন্দেহ জাগে। তারা ফান্ড ট্রান্সফার বন্ধ করে বাংলাদেশের কাছে বেনিফিশিয়ারির বিষয়ে অধিকতর তথ্য ও ব্যাখ্যা চায়। কারণ, ৩৫টি পেমেন্ট ইনস্ট্রাকশন ছিল ব্যক্তির নামে। এর আগের এক বছরে বাংলাদেশ ব্যাংক থেকে যেসব বার্তায় ফান্ড ট্রান্সফারের অনুরোধ গেছে, এর গড় হচ্ছে এক মিলিয়ন ডলার। আর আলোচ্য ৩৫টি বার্তায় বিপুল অর্থ ট্রান্সফারের অনুরোধ করা হয়, যা গড়ে সাড়ে নয় মিলিয়ন ডলারের। পরে ফেডারেল রিজার্ভ ব্যাংক বাংলাদেশ ব্যাংকের পাঁচটি সুইফট বার্তায় ফান্ড লেনদেন স্থানান্তর করে দেয়।
