২০১৬ সালে উত্তর কোরিয়ার হ্যাকাররা বাংলাদেশের কেন্দ্রীয় ব্যাংকের রিজার্ভ থেকে এক বিলিয়ন (১০০ কোটি) ডলার চুরির এক নিখুঁত পরিকল্পনা সাজায়। তারা প্রায় সফল হয়েই গিয়েছিল। নেহাত ভাগ্যের জোরে তাদের পরিকল্পনা হোঁচট খায়। বাংলাদেশ ৮১ মিলিয়ন ডলার খোয়ানোর পর এই চুরি ঠেকাতে সক্ষম হয়।

প্রশ্ন হচ্ছে বিশ্বের অন্যতম দরিদ্র ও বিচ্ছিন্ন দেশ উত্তর কোরিয়া কীভাবে এত চৌকস একটি সাইবার অপরাধী দল তৈরি করতে পারল?

বাংলাদেশ ব্যাংকের রিজার্ভ চুরি নিয়ে বিবিসি ওয়ার্ল্ড ১০ পর্বের একটি পডকাস্ট তৈরি করেছে, যার শিরোনাম: ‘লাজারাস হেইস্ট: হাউ নর্থ কোরিয়া অলমোস্ট পুলড অফ আ বিলিয়ন ডলার’ (লাজারাস হেইস্ট: যেভাবে উত্তর কোরিয়া বিলিয়ন ডলার প্রায় সরিয়ে ফেলেছিল)।

এখানে সেই পডকাস্টের কিছুটা সংক্ষেপিত রূপ তুলে ধরা হলো:

এ গল্পের শুরু একটি অকেজো প্রিন্টার দিয়ে। প্রিন্টারটি নষ্ট হলে অন্য সকলের মতো বাংলাদেশ ব্যাংকের সংশ্লিষ্ট কর্মীরাও ভেবেছিলেন, এটি মামুলি কোনো যান্ত্রিক ত্রুটি।

কিন্তু প্রিন্টার যেখানে রাখা, সেটা বাংলাদেশের কেন্দ্রীয় ব্যাংকের দশম তলার একটি কক্ষ আর এই প্রিন্টারও কোনো যেনতেন প্রিন্টার না। এর একটিই কাজ: কেন্দ্রীয় ব্যাংকের কোটি-কোটি টাকার আদান-প্রদানের রেকর্ড প্রিন্ট করা।

২০১৬ সালের ৫ ফেব্রুয়ারি সকাল পৌনে ৯টার দিকে ব্যাংকের কর্মকর্তারা টের পান, ওই প্রিন্টারটি কাজ করছে না। ডিউটি ম্যানেজার জুবায়ের বিন হুদা বিবিসিকে বলেন, ‘আমরা ভেবেছিলাম, সাধারণ কোনো সমস্যা। যেমনটা সাধারণত ঘটে থাকে, তেমন কিছু হয়েছে। আগেও এ ধরনের সমস্যা দেখে দিয়েছে প্রিন্টারে।’

প্রকৃতপক্ষে বাংলাদেশ ব্যাংক যে এক বিরাট সমস্যায় পড়তে যাচ্ছে, এটি ছিল তার প্রথম আলামত। হ্যাকাররা ততক্ষণে ব্যাংকের কম্পিউটার নেটওয়ার্কে ঢুকে পড়েছে এবং ওই সময়ে ইতিহাসের সবচেয়ে উচ্চকাঙ্ক্ষী সাইবার অ্যাটাক শুরু করে দিয়েছে। তাদের লক্ষ্য ছিল এক বিলিয়ন ডলার চুরি করা।

চুরি করা টাকা সরিয়ে নিতে হ্যাকাররা নকল ব্যাংক অ্যাকাউন্ট, দাতব্য সংস্থা, ক্যাসিনো এবং সহযোগীদের এক বিস্তৃত নেটওয়ার্ক ব্যবহার করে।

এই হ্যাকাররা কারা এবং কোথা থেকে এসেছে?

সকল ডিজিটাল ফিঙ্গার প্রিন্ট কেবল একটি দিকই নির্দেশ করছিল: উত্তর কোরিয়া সরকার।

সাইবার-অপরাধের ক্ষেত্রে উত্তর কোরিয়াকে সন্দেহ করা হবে এটা অনেকের কাছে অবাক করার মতো লাগতে পারে। এটি বিশ্বের দরিদ্রতম দেশগুলির মধ্যে একটি। দেশটি প্রযুক্তিগতভাবে দুর্বল, অর্থনৈতিক ও প্রায় প্রতিটি ক্ষেত্রে বিশ্ব সম্প্রদায় থেকে বিচ্ছিন্ন।

তারপরও এফবিআইয়ের মতে, এশিয়াজুড়ে ছড়িয়ে ছিটিয়ে থাকা হ্যাকার ও মধ্যস্থতাকারীদের গোপন একটি দলের বহু বছরের পরিকল্পনা ও প্রস্তুতির ফসল ছিল বাংলাদেশ ব্যাংকে এই দুঃসাহসী হ্যাকিং অভিযান।

সাইবার নিরাপত্তা ইন্ডাস্ট্রিতে উত্তর কোরিয়ান হ্যাকারদের ডাকা হয় ল্যাজারাস গ্রুপ নামে। নামটি দেয়া হয়েছে বাইবেলে বর্ণিত ল্যাজারাসের নাম অনুযায়ী, যিনি মৃত্যু থেকে ফিরে এসেছিলেন। এই গ্রুপের কম্পিউটার ভাইরাসগুলিকে সামলানো বিশেষজ্ঞদের দাবি, এই হ্যাকাররাও বারবার ফিরে আসে।

গ্রুপটি সম্বন্ধে খুব বেশি জানা যায়নি। এফবিআই এই গ্রুপের শুধু একজন সন্দেহভাজনের ব্যাপারে বিস্তারিত জানতে পেরেছে, তার নাম পার্ক জিন-হিয়ুক। তিনি পার্ক জিন-হেক ও পার্ক কোয়াং-জিন নামেও পরিচিত।

কে এই পার্ক?

এফবিআই বলছে, পার্ক একজন কম্পিউটার প্রোগ্রামার। উত্তর কোরিয়ার শীর্ষ বিশ্ববিদ্যালয় থেকে স্নাতক শেষে তিনি চীনা বন্দর শহর দালিয়ানে উত্তর কোরিয়ার একটি সংস্থা চোসুন এক্সপোর হয়ে কাজ করতেন। পার্ক সারা বিশ্বের ক্লায়েন্টদের জন্য অনলাইন গেমিং ও জুয়ার প্রোগ্রাম তৈরি করেছিলেন।

দালিয়ানে থাকার সময় তিনি একটি ই-মেইল আইডি ও একটি সিভি তৈরি করেন। সামাজিক যোগাযোগ মাধ্যমে নিজের নেটওয়ার্কও তৈরি করেন। এফবিআইয়ের তদন্তকারীর হলফনামায় বলা হয়েছে, পার্কের সাইবার-ফুটপ্রিন্ট থেকে জানা যায়, ২০০২ সালের দিকে দালিয়ানে তার যাতায়াত শুরু হয়, যা ২০১৩ বা ২০১৪ পর্যন্ত অব্যাহত ছিল। এরপর তার ইন্টারনেট কার্যকলাপ উত্তর কোরিয়ার রাজধানী পিয়ং ইয়ং থেকে রেকর্ড করে এফবিআই।

আমেরিকান গোয়েন্দা সংস্থাটি পার্কের একটি ছবিও প্রকাশ করে, যা ক্লায়েন্টের সঙ্গে তার পরিচয় করিয়ে দেয়ার জন্য একটি ই-মেইলে ব্যবহার করেছিলেন চসুন এক্সপোর ম্যানেজার। ছবিতে দেখা যায়, ক্লিন-শেভ বিশ বা ত্রিশের ঘরের এক কোরিয়ান যুবক পার্ক। পরনে ছিল চকোলেট রঙের সুট ও কালো রঙের পিন স্ট্রাইপ শার্ট। একবারেই সাধারণ একটি চেহারা, যাতে ক্লান্তির ছাপ রয়েছে।

এফবিআইয়ের দাবি, পার্ক দিনে প্রোগ্রামার হলেও রাতে হ্যাকারের কাজ করেন।

২০১৮ সালের জুনে আমেরিকান কর্তৃপক্ষ পার্ককে সেপ্টেম্বর ২০১৪ ও আগস্ট ২০১৭-এর মধ্যে করা কম্পিউটার জালিয়াতি ও অপব্যবহারের ষড়যন্ত্র এবং ই-মেইল জালিয়াতির অভিযোগে অভিযুক্ত করে। ধরা পড়লে তার ২০ বছরের কারাদণ্ড হতে পারে। (অভিযোগ দায়েরের চার বছর আগে তিনি চীন থেকে উত্তর কোরিয়ায় ফিরে যান।)

পার্ক রাতারাতি হ্যাকার হননি। তিনি হাজার হাজার তরুণ উত্তর কোরিয়ানের একজন, যাদের শৈশব থেকেই সাইবার-যোদ্ধা হওয়ার জন্য বেছে নেয়া হয়। গণিতে ভালো এইসব প্রতিভাবান কিশোরদের, যাদের অনেকের বয়স ১২, স্কুল থেকে রাজধানীতে পাঠানো হয়। সেখানে তাদের সকাল থেকে রাত অবধি নিবিড় প্রশিক্ষণ দেয়া হয়।

সাপ্তাহিক ছুটির চক্কর

২০১৬ সালের ৫ ফেব্রুয়ারি বাংলাদেশ ব্যাংকের কর্মকর্তারা যখন সেই প্রিন্টারটি রিস্টার্ট করেন, তখন তাদের কপালে পড়ে চিন্তার ভাঁজ। প্রিন্টার থেকে নিউ ইয়র্কের ফেডারেল রিজার্ভ ব্যাংক থেকে আসা জরুরি কিছু বার্তা প্রিন্ট হয়ে বের হয়। ফেডারেল রিজার্ভ ব্যাংকে বাংলাদেশের ইউ ডলারের একটি অ্যাকাউন্ট রয়েছে। আমেরিকান ব্যাংকটি জানায়, তারা বাংলাদেশ ব্যাংক থেকে তাদের অ্যাকাউন্টে থাকা প্রায় এক বিলিয়ন ডলার উঠিয়ে নেয়ার নির্দেশ পেয়েছে।

ফেডারেল ব্যাংক অফ রিজার্ভের সঙ্গে বাংলাদেশ যোগাযোগ করার চেষ্টা করে। কিন্তু হ্যাকারদের দক্ষতায় তারা সেটা করতে পারেনি।

আগের দিন (৪ ফেব্রুয়ারি) বৃহস্পতিবার বাংলাদেশ সময় রাত ৮টায় হ্যাকিং শুরু হয়। বাংলাদেশ যখন ঘুমন্ত তখন নিউ ইয়র্কে বৃহস্পতিবার সকাল। ফলে ফেডারেল ব্যাংকের হাতে ওই নির্দেশ পালনের জন্য যথেষ্ট সময় ছিল।

পরের দিন থেকে বাংলাদেশের শুক্র-শনিবারের সাপ্তাহিক ছুটি শুরু হয়। যার কারণে ঢাকার বাংলাদেশ ব্যাংক দুই দিনের ছুটিতে যাচ্ছিল। বাংলাদেশ ব্যাংক যখন শনিবার এই চুরির বিষয়টি ধরতে পারে, তখন নিউ ইয়র্কে উইকেন্ড শুরু হয়ে গেছে।

যুক্তরাষ্ট্রভিত্তিক সাইবার-নিরাপত্তা বিশেষজ্ঞ রাকেশ আস্থানা বলেন, ‘এ থেকে বোঝা যায় আক্রমণ কতটা নিঁখুত ছিল। বৃহস্পতিবার এখানে খুব গুরুত্বপূর্ণ। শুক্রবার নিউ ইয়র্কে কাজের দিন আর বাংলাদেশ ব্যাংক বন্ধ। বাংলাদেশ ব্যাংক আবার যখন খুলছে, তখন ফেডারেল রিজার্ভ ব্যাংক বন্ধ হয়ে যাচ্ছে। তাতে পুরো বিষয়টি ধরা পড়তে পড়তে তিন দিন দেরি হয়।’

সময়ক্ষেপণ করতে হ্যাকাররা আরও একটি কৌশল অবলম্বন করে। ফেড থেকে বের করার পর তারা টাকাটা পাঠিয়ে দেয় ফিলিপাইনের রাজধানী ম্যানিলার কয়েকটি অ্যাকাউন্টে। ২০১৬ সালের ৪ ফেব্রুয়ারি ছিল চন্দ্রবর্ষের প্রথম দিন। এশিয়ার বিভিন্ন দেশে ওই দিন সরকারি ছুটি পালন করা হয়।

বাংলাদেশ, নিউ ইয়র্ক ও ফিলিপাইনের সময়ের পার্থক্যকে কাজে লাগিয়ে হ্যাকাররা টাকা সরিয়ে নিতে পুরো পাঁচ দিনের একটা সময় বের করে।

বহুদিন ধরেই তারা এই সমস্ত পরিকল্পনা করে। চুরির আগে প্রায় এক বছর ল্যাজারাস গ্রুপটি বাংলাদেশ ব্যাংকের কম্পিউটার সিস্টেমের মধ্যে লুকিয়ে ঘোরাফেরা করছিল।

চুরির এক বছর আগে

২০১৫ সালের জানুয়ারিতে বাংলাদেশ ব্যাংকের বেশ কয়েকজন কর্মকর্তা আপাতদর্শনে নিরীহ একটি ই-মেইল পান। রাসেল আহলাম নামের এক চাকরি প্রার্থীর মেইল ছিল সেটি। বিনম্রভাবে মেইলে রাসেল ব্যাংকে চাকরির বিষয়ে আর তার সিভি ডাউনলোডের জন্য একটি ওয়েবসাইটের লিংক দেয়।

এফবিআই জানায়, রাসেল নামের কেউ আসলে ওই মেইল করেননি। মেইল করেছিল ল্যাজারাস গ্রুপ। বাংলাদেশ ব্যাংকের অন্তত একজন কর্মকর্তা ল্যাজারাসের ধোঁকায় পা দেন ও ওই সিভি ডাউনলোড করেন। অজান্তেই তাতে লুকিয়ে থাকা ভাইরাসটি বাংলাদেশ ব্যাংকের কম্পিউটার সিস্টেমে আক্রমণ করে।

ব্যাংকের সিস্টেমে ঢোকার পর ল্যাজারাস গ্রুপ গোপনে কম্পিউটার থেকে কম্পিউটারে প্রবেশ করে। যে ডিজিটাল ভল্টে বিলিয়ন ডলারেরও বেশি রাখা ছিল, সেটায় ঢোকার কাজ শুরু করে তারা।

এবং তারপরে তারা থেমে যায়।

হ্যাকাররা প্রাথমিক ফিশিং ই-মেইল পাঠানোর এক বছর অপেক্ষার পর কেন টাকা চুরি করল? ব্যাংকের সিস্টেমে এক বছর লুকিয়ে থাকতে গিয়ে ধরা পড়ার ঝুঁকি কেন নিল তারা?

নিয়েছে, কারণ চুরির টাকা বের করে নেয়ার পথ ঠিক করতে ল্যাজারাসের সময় দরকার ছিল।

ঢাকার টাকা ম্যানিলায়

ম্যানিলার ব্যস্ততম এলাকাগুলোর একটি জুপিটার স্ট্রিট। ফিলিপাইনের অন্যতম বড় ব্যাংক আরসিবিসির একটা শাখা রয়েছে এখানে। বাংলাদেশ ব্যাংকের অ্যাকাউন্টে প্রবেশের পর ২০১৫ সালের মে মাসে এই শাখায় চারটি অ্যাকাউন্ট খোলে হ্যাকারদের সহযোগীরা।

পরে জানা যায়, অ্যাকাউন্টগুলো খোলার সময় ব্যবহার করা হয় জাল ড্রাইভার্স লাইসেন্স। আর ভিন্ন ভিন্ন প্রতিষ্ঠানের হয়ে কাজ করা চার আবেদনকারীর জব টাইটেল ও বেতন ছিল হুবহু এক। প্রাথমিকভাবে ৫০০ ডলার দিয়ে খোলা অ্যাকাউন্টগুলো মাসের পর মাস একইভাবে পড়ে ছিল। কেউ ওই টাকাতেও হাত দেয়নি। এই অস্বাভাবিকতা কারও চোখে পড়েনি। হ্যাকাররা ততদিনে পালানোর অন্য বুদ্ধি আঁটছিল।

২০১৬ সালের ফেব্রুয়ারি মাসের মধ্যেই বাংলাদেশ ব্যাংকে হ্যাক করে ও টাকা সরিয়ে ফেলার পথ পরিষ্কার করে ল্যাজারাস গ্রুপ প্রস্তুত হয়ে যায় চূড়ান্ত আক্রমণের জন্য।

তবে তাদের সামনে তখনও একটা বাধা ছিল।

১০ তলার সেই প্রিন্টার।

বাংলাদেশ ব্যাংক তার অ্যাকাউন্ট থেকে সমস্ত লেনদেন রেকর্ড করার জন্য একটি পেপার ব্যাক-আপ সিস্টেম তৈরি করে। লেনদেনের এই রেকর্ড সঙ্গে সঙ্গে চুরির ঘটনা প্রকাশ করার ঝুঁকিতে ফেলে দেয় হ্যাকারদের। তারা তাই একে নিয়ন্ত্রণকারী সফটওয়্যারটিতে আগে হ্যাক করে ও অকার্যকর করে দেয়।

নিজেদের গোপনীয়তা পুরোপুরি নিশ্চিত করার পর, ২০১৬ সালের ৪ ফেব্রুয়ারি বৃহস্পতিবার রাত ৮টা ৩৬ মিনিটে হ্যাকাররা টাকা সরাতে শুরু করে।

নিউ ইয়র্কের ফেডারেল ব্যাংক অ্যাকাউন্ট থেকে বাংলাদেশের জমা করা টাকার প্রায় পুরোটাই, মোট ৩৫টি লেনদেনে তারা সরাতে শুরু করে। এর পরিমাণ ছিল ৯৫১ মিলিয়ন ডলার।

চোররা যখন নিজেদের বড় পারিশ্রমিকের স্বপ্নে বিভোর, তখন একেবারে হলিউডি ফিল্মের মতো ছোট্ট একটা ভুলে ভন্ডুল হয়ে যায় সবকিছু। ধরা পড়ে তাদের চুরি।

পরের দুই দিন বাংলাদেশ ব্যাংকের কর্মকর্তা টাকা খোয়া গেছে বুঝতে পারলেও ঠিক কী হয়েছে ধরতে পারছিলেন না।

গোপন রাখা হয় চুরি

ব্যাংকের গভর্নরের সঙ্গে রাকেশ আস্থানা ও তার সংস্থা ওয়ার্ল্ড ইনফরম্যাটিকসের পরিচয় ছিল। গভর্নর রাকেশকে সাহায্যের জন্য ফোন করেন।

আস্থানা বিবিসিকে জানান, ওই মুহূর্তেও গভর্নর ভাবছিলেন, তিনি চুরি হওয়া টাকা ফিরিয়ে আনতে পারবেন। যার কারণে তিনি হ্যাকিংয়ের ঘটনাটি শুধু জনগণের কাছ থেকেই নয়, দেশের সরকারের কাছেও গোপন রাখেন।

আস্থানা বোঝার চেষ্টা করছিলেন, হ্যাকাররা কতদূর কী করেছে। তিনি বের করেন, হ্যাকাররা বাংলাদেশ ব্যাংকের সিস্টেমের অন্যতম অংশ সুইফটের নিয়ন্ত্রণ নিয়ে নিয়েছে। বিশ্বজুড়ে হাজারো ব্যাংকের বড় অঙ্কের লেনদেনের সামাল দেয় সুইফট সফটওয়্যার সিস্টেম। সুইফটের কোনো দুর্বল দিক হ্যাকাররা কাজে লাগায়নি। তার দরকারও পড়েনি। কারণ সুইফট সফটওয়্যার হ্যাকারদের ব্যাংকের কর্মচারী ভেবে নিয়েছিল।

দ্রুতই বাংলাদেশ ব্যাংকের কর্তারা বুঝতে পারেন, হারানো টাকা ফিরিয়ে আনা সম্ভব হবে না। ততক্ষণে ফিলিপাইনে কিছু টাকা পৌঁছে গিয়েছিল।

ওখানকার কর্তৃপক্ষ জানায়, টাকা ফিরিয়ে দেয়ার প্রক্রিয়া আদালতের আদেশ ছাড়া শুরু করা সম্ভব নয়। আদালতের আদেশ সরকারি নথি। যে কারণে যখন বাংলাদেশ ব্যাংক ফেব্রুয়ারির শেষ দিকে আবেদন করে, তখন পুরো বিষয়টি সবাই জানতে পারেন ও বিশ্বজুড়ে তোলপাড় শুরু হয়।

সঙ্গে সঙ্গেই বাংলাদেশ ব্যাংক গভর্নর তোপের মুখে পড়েন। আস্থানা বলেন, ‘তাকে পদত্যাগ করতে বলা হয়। তাকে আমি আর দেখিনি।’

টাকা যেভাবে বের করা হয়

হ্যাকাররা ম্যানিলার অসংখ্য ব্যাংক ব্যবহার করতে পারত, কিন্তু তারা জুপিটার স্ট্রিটে অবস্থিত আরসিবিসি ব্যাংকের শাখাটিকেই বেছে নেয়। এই সিদ্ধান্তের কারণেই তাদের কয়েক শ মিলিয়ন ডলার গচ্চা দিতে হয়েছে।

যুক্তরাষ্ট্রের কংগ্রেসের আর্থিক সেবা বিষয়ক কমিটির সদস্য ক্যারোলিন ম্যালোনি জানান, ঘটনাচক্রে ইরানের একটি জাহাজের নামের সঙ্গে মিলে যায় এ ব্যাংকের ঠিকানা।

তিনি বলেন, লেনদেনগুলোকে ফেড আটকে দেয়। কারণ এর ঠিকানায় জুপিটার শব্দটি ছিল। জুপিটার একটি ইরানি বাণিজ্যিক জাহাজেরও নাম, যার ওপর ফেডের নিষেধাজ্ঞা আছে। এটি কালো তালিকাভুক্ত।

‘জুপিটার’ শব্দটির কারণেই ফেডারেল ব্যাংকের কম্পিউটারগুলো সতর্ক হয়ে ওঠে এবং লেনদেনগুলো রিভিউ করা হয়। এ কারণে অধিকাংশ লেনদেন ঠেকানো সম্ভব হয়। তবে ১০১ মিলিয়ন ডলার ঠিকই ফাঁক গলে বেরিয়ে যায়।

এই ১০১ মিলিয়ন ডলারের মধ্যে ২০ মিলিয়ন ডলার পাঠানো হয় শ্রীলঙ্কার একটি দাতব্য সংস্থা ‘শালিকা ফাউন্ডেশন’-এর নামে। হ্যাকারদের দোসররা চুরি করা টাকা পাচারের জন্য আগেই একে ঠিক করে রাখেন। এর মালিক শালিকা পেরেরা জানান, তার ধারণা ছিল লেনদেনগুলো বৈধভাবে দান করা হয়েছে।

এখানেও ছোট একটা ঝামেলার কারণে ফেঁসে যায় হ্যাকাররা। টাকা পাঠানো হয় ‘Shalika Fundation’ এর নামে। এক ব্যাংক কর্মকর্তার চোখে পড়ে এই বানান ভুল, কারণ এতে ফাউন্ডেশনের একটি অক্ষর (o) বাদ পড়েছে। ফলে লেনদেনটি ফেরত পাঠানো হয়।

শেষ পর্যন্ত ৮১ মিলিয়ন ডলার

লক্ষ্য ছিল ১ বিলিয়ন ডলার। কিন্তু শেষ পর্যন্ত ৮১ মিলিয়ন ডলার চুরি করতে সক্ষম হয় হ্যাকাররা। লক্ষ্য পূরণ না হলেও বাংলাদেশের মতো একটি দেশ যেখানে পাঁচজনের একজন মানুষ দারিদ্র্যসীমার নিচে বাস করে, তাদের জন্য এই ক্ষতিও ছিল বড় অঙ্কের।

বাংলাদেশ ব্যাংক যতক্ষণে টাকা ফেরত নেয়ার চেষ্টা শুরু করে, ততক্ষণে হ্যাকাররা একে নাগালের বাইরে নিয়ে গেছে। হ্যাকিংয়ের পরদিন অর্থাৎ ৫ ফেব্রুয়ারি বৃহস্পতিবার জুপিটার স্ট্রিটের আরসিবিসি শাখায় এক বছর আগে খোলা অ্যাকাউন্ট হঠাৎই যেন জীবন ফিরে পায়।

টাকাগুলোকে চারটি অ্যাকাউন্টে পাঠানোর পর সেখান থেকে স্থানীয় একটি মানি এক্সচেঞ্জ ফার্মে পাঠানো হয়। স্থানীয় মুদ্রায় রূপান্তরিত করার পর সেগুলোকে আবারও ব্যাংক অ্যাকাউন্টগুলোতে ফিরিয়ে আনা হয়। কিছু অংশ নগদ হিসেবে ব্যাংক থেকে তোলাও হয়েছে।

মানি লন্ডারিং বিশেষজ্ঞদের কাছে পুরো বিষয়টিই ছিল নিয়মমাফিক। ক্যালিফোর্নিয়ার মিডলবারি ইনস্টিটিউট অফ ইন্টারন্যাশনাল স্টাডিজের ফিনান্সিয়াল ক্রাইম ম্যানেজমেন্ট প্রোগ্রামের প্রধান মোয়ারা রুয়েসেন বলেন, ‘পরবর্তীতে ব্যবহার করার জন্য সমস্ত বেআইনি উপার্জনকে সাদা দেখাতে হবে ও এমনভাবে দেখাতে হবে যেন মনে হয় তা বৈধ উৎস থেকে প্রাপ্ত। অর্থের লেনদেনটিকে যতটা সম্ভব ঘোলা ও অস্পষ্ট করে তুলতে হবে।’

তারপরও তদন্তকারীদের সামনে টাকার উৎস খুঁজে পাওয়ার উপায় ছিল। সম্পূর্ণ আত্মগোপনের জন্য এর দরকার ছিল ব্যাংকিং সিস্টেম থেকে হাওয়া হয়ে যাওয়া।

ক্যাসিনোর জুয়ার টেবিল

বাংলাদেশ ব্যাংকের টাকা চুরি করা দলটির পরের গন্তব্য ছিল সলিটেয়ার হোটেল। ম্যানিলার এই হোটেলটি বিখ্যাত এর ক্যাসিনোর জন্য। ৪০০টি জুয়ার টেবিল ও ২ হাজার স্লট মেশিন সংবলিত ক্যাসিনোটিতে মোটা পকেটওয়ালা চীনা ব্যবসায়ীরা জুয়া খেলতে আসেন।

চুরি করা ৮১ মিলিয়ন ডলারের মধ্যে ৫০ মিলিয়ন ডলার এই ক্যাসিনো ও মাইডাস নামের আরেকটি ক্যাসিনোর অ্যাকাউন্টে পাঠানো হয়। বাকি ৩১ মিলিয়ন ডলারের কী হলো সেটা জানতে ফিলিপাইন কর্তৃপক্ষ একটি তদন্ত কমিটি গঠন করে। তাদের দাবি, বাকি টাকা শু ওয়েইকাং নামের এক চীনা ব্যক্তিকে দেয়া হয়, যিনি একটি প্রাইভেট জেটে শহর ছাড়েন ও তারপর কোনোদিন আর ম্যানিলায় আসেননি।

অর্থের উৎস ও লেনদেন গোপনের জন্যই ক্যাসিনোতে টাকা পাঠানো হয়। চুরি করা টাকা দিয়ে ক্যাসিনোর চিপস কিনে, জুয়া খেলার পর নগদ টাকায় বদলে ফেলা হলে তদন্তকারীদের পক্ষে একে খুঁজে বের করা অসম্ভব।

ক্যাসিনোতে জুয়া খেলে যেন টাকা খোয়া না যায় সে জন্য চোরদের দল প্রাইভেট রুম ভাড়া করে এবং নিজেদের লোকদের সঙ্গেই নিজেরা জুয়া খেলে। এতে করে তারা পুরো জুয়ার টাকাকে নিয়ন্ত্রণ করতে সক্ষম হয়। দ্বিতীয়ত তারা চুরি করা টাকা দিয়ে ‘বাকারাত’ খেলে। এটি এশিয়ার বহু দেশে প্রচলিত জনপ্রিয় একটি জুয়া, যেটাতে শুধুমাত্র দুটা ফল। হার অথবা জিত। এবং অধিকাংশ টাকা (প্রায় ৯০ শতাংশ) ফিরে পাওয়া সম্ভব।

অপরাধীরা চুরি হওয়া টাকা লন্ডারিং করে লাভের অপেক্ষায় ছিল। কিন্তু সেটা নিশ্চিত করতে খেলোয়াড় ও তাদের ধরা বাজিকে খুব সাবধানে তারা নিয়ন্ত্রণ করে। তারা বেশ খানিকটা সময় নেয়। কয়েক সপ্তাহ ধরে তারা টাকা সাদা করার জন্য ম্যানিলার ক্যাসিনোতে অপেক্ষায় ছিলেন।

বাংলাদেশ ব্যাংকও তখন টাকা উদ্ধারের চেষ্টায় বেশ এগিয়ে যাচ্ছিল। এর কর্মকর্তারা ম্যানিলা সফরে আসেন ও টাকা পাচারের পথ খুঁজে পান। কিন্তু ক্যাসিনোতে যাওয়ার পর তারা নিরুপায় হয়ে পড়েন। ওই সময়ে ফিলিপাইনের ক্যাসিনোগুলো মানি লন্ডারিংয়ের নিয়মের অধীনে ছিল না। ক্যাসিনোদের হিসেবে তাদের অ্যাকাউন্টের টাকা বৈধ ও বৈধ জুয়াড়িদের টাকা। তাদের নিজের টাকা দিয়ে তারা বৈধভাবেই জুয়া খেলছেন।

সলিটেয়ার জানায়, তারা জানত না যে, তাদের ক্যাসিনোতে অবৈধ টাকা ঢালা হচ্ছে, এ নিয়ে তারা কর্তৃপক্ষকে সহায়তা করছে। আর মাইডাস বিবিসির কাছে কোনো মন্তব্য করেনি।

ব্যাংকের কর্মকর্তারা কিম ওয়ং নামের মাইডাস ক্যাসিনোতে জুয়ার আসরের আয়োজনকারী এক ব্যক্তির কাছ থেকে ১৬ মিলিয়ন ডলার উদ্ধার করতে সক্ষম হন। বাকি ৩৪ মিলিয়ন তখনও ধরাছোঁয়ার বাইরে।

এর পরবর্তী গন্তব্য উত্তর কোরিয়ার আরও এক ধাপ কাছে।

তদন্তকারীদের বিশ্বাস ছিল যে, চুরি যাওয়া অর্থের পরবর্তী গন্তব্য মাকাও।

চীনের এই রাজ্যটির সঙ্গে সলিটেয়ারে জুয়া খেলা অনেকেরই সম্পর্ক ছিল। সলিটেয়ারে প্রাইভেট রুম ভাড়া করা দুটি প্রতিষ্ঠান ছিল মাকাওয়ের। তদন্তকারীরা দাবি করেন অধিকাংশ অর্থ মাকাও থেকেই উত্তর কোরিয়ায় ঢুকেছে।

বাংলাদেশ চুরি হওয়া বাকি অর্থ প্রায় ৬৫ মিলিয়ন ডলার পুনরুদ্ধারের চেষ্টা করছে। বাংলাদেশ ব্যাংক কয়েক ডজন ব্যক্তি ও প্রতিষ্ঠানের বিরুদ্ধে আইনি পদক্ষেপ নিয়েছে। এর মধ্যে ফিলিপাইনের আরসিবিসি ব্যাংকও আছে। তারা অবশ্য আইন ভঙ্গের অভিযোগ অস্বীকার করে এসেছে।

বাংলাদেশ ব্যাংকে আক্রমণের পরের বছর ২০১৭ সালের মে মাসে ওয়ানাক্রাই র‍্যানসমওয়্যার হাজার হাজার ব্যবহারকারীকে আক্রমণ করে। আক্রান্তদের ব্ল্যাকমেইল করা হয় ও বিটকয়েনের বিনিময়ে তাদের ডেটা ফিরিয়ে দেয়া হয়।

যুক্তরাজ্যের ন্যাশনাল ক্রাইম এজেন্সির এক গোয়েন্দা এফবিআইয়ের সঙ্গে মিলে র‍্যানসমওয়্যারের কোড ভাঙার চেষ্টা করে দেখেন এর সঙ্গে বাংলাদেশ ব্যাংক ও ২০১৪ সালে সোনি পিকচার্সে হ্যাকিংয়ে ব্যবহৃত ভাইরাসের অনেকাংশে মিল রয়েছে। শেষ পর্যন্ত এফবিআই এই আক্রমণের জন্য পার্ক জিন-হিয়ুককে দোষী সাব্যস্ত করে।

এ বছরের ফেব্রুয়ারিতে ইউএস ডিপার্টমেন্ট অফ জাস্টিস আরও দুই উত্তর কোরিয়ার নাগরিককে দোষী খুঁজে পায়। তাদের দাবি ওই দুইজনও ল্যাজারাস গ্রুপের সদস্য এবং ক্যানাডা থেকে নাইজেরিয়া পাঠানো একটি মানি লন্ডারিংয়ের সঙ্গে জড়িত।