গত ৩১ জানুয়ারি বিকেল ৪টা ৩৭ মিনিটে বাংলাদেশ জামায়াতে ইসলামীর আমীর ডা. শফিকুর রহমানের এক্স হ্যান্ডেলে কর্মজীবী নারীদের নিয়ে অবমাননাকর পোস্ট করা হয়। এ নিয়ে দিনভর উত্তাল ছিল দেশ। অবমাননাকর পোস্টের প্রতিবাদে সারাদেশে বিএনপিসহ নানা পক্ষ বিক্ষোভ মিছিল করেছে। দ্য ডিসেন্ট এর এই অনুসন্ধান ও বিশ্লেষণ যৌথভাবে করেছেন মাহবুব এ রহমান ও সোহানুর রহমান। তবে জামায়াত দাবি করেছে, তাদের দলীয় প্রধানের আইডিটি হ্যাকিংয়ের শিকার হয়েছিল। ১ ফেব্রুয়ারি সকালে এই দাবির পক্ষে প্রমাণ তুলে ধরতে সাংবাদিক সম্মেলন করেন দলটি। সাংবাদিক সম্মেলনে জামায়াত জানান, রাষ্ট্রপতির কার্যালয়ের একজন সহকারী প্রোগ্রামারের ইমেইল থেকে মেইল পাঠিয়ে হ্যাক করা হয় তাদের ডিভাইস, যেটিতে আমীরের এক্স একাউন্ট লগ-ইন করা ছিল। জামায়াতে ইসলামীর পক্ষ থেকে আরও বলা হয়েছে, হ্যাক হওয়ার পর বিষয়টি টের পেয়ে সাথে সাথে একাউন্টের পাসওয়ার্ড বদলানো হয় এবং বিকাল ৫টা ২২ মিনিটে একটি পোস্ট করে হ্যাক হওয়ার বিষয়টি জানানো হয়। রাজনৈতিক পরিসরে এই ঘটনাটি নিয়ে আলোচনা ও বিতর্ক চলছেই। এই বিতর্কের মধ্যে দ্য ডিসেন্ট অনুসন্ধান করে দেখার চেষ্টা করেছে, জামায়াত আমীরের এক্স আইডিটি হ্যাকিংয়ের শিকার হওয়ার কোন প্রমাণ পাওয়া যায় কিনা? এবং পাওয়া গেলে সেই হ্যাকিং প্রক্রিয়াটি কীভাবে ঘটেছে।
জামায়াতের দাবিসমূহ: ১. জামায়াত আমীরের এক্স একাউন্টের পোস্টটি তাদের এডমিনদের করা নয়, বরং হ্যাকিংয়ের মাধ্যমে অন্য কেউ পোস্ট করেছে। ২. হ্যাকিংয়ের মাধ্যমে পোস্টটি করা হলেও তাদের কাছে কোন ধরনের সন্দেজনক লগইনের নোটিফিকেশন, ইমেইল এলার্ট বা ওটিপি আসেনি। ঘটনার পর শুধুমাত্র পাসওয়ার্ড পরিবর্তন এবং সেশন লগআউটের মাধ্যমে তারা একাউন্টের পূর্ণ নিয়ন্ত্রণ ফিরে পেতে সক্ষম হয়েছেন। ৩. দলটির অফিসিয়াল ইমেইলে বঙ্গভবনের এক কর্মকর্তার ইমেইল ঠিকানা থেকে দুইবার মেইল এসেছিল (৫ ও ১০ জানুয়ারিতে দুইবার)। ৪. ইমেইল বার্তা আসার পরে কিন্তু আমীরের আইডি থেকে বিতর্কিত পোস্টের (৩১ জানুয়ারি) আগেও তাদের অন্য সামাজিক মাধ্যম একাউন্ট হ্যাকিংয়ের চেষ্টা হয়েছিল। এই দাবিগুলো যাচাই করতে দ্য ডিসেন্ট নিম্নোক্ত প্রশ্নগুলোর উত্তর খোঁজার চেষ্টা করেছে:
দ্য ডিসেন্ট খুঁজেছে: ১. আমীরের বিতর্কিত এক্স পোস্টের বিষয়ে যে হ্যাকিংয়ের দাবি করেছে জামায়াত, তার পক্ষে প্রমাণ পাওয়া যায় কিনা? ২. বঙ্গভবনের কর্মকর্তার অফিসিয়াল ইমেইল থেকে আসলেই কোন ইমেইল এসেছিল কিনা? ৩. যদি এসে থাকে তাহলে সেই ইমেইলে কোন ক্ষতিকর ম্যালওয়্যারের উপস্থিতি ছিল কিনা? ৪. ম্যালওয়্যারের উপস্থিতি থাকলে সেটি দিয়ে জামায়াতের দাবি অনুযায়ী আলোচ্য ঘটনার মতো (নোটিফিকেশন, ইমেইল এলার্ট বা ওটিপি ছাড়া) হ্যাকিংয়ের ঘটনা ঘটানো সম্ভব কিনা? ৫. আমীরের ঘটনার আগেও দলটির কেন্দ্রীয় কার্যালয়ের ডিভাইস হ্যাকিং চেষ্টার কোন প্রমাণ আছে কিনা?
দ্য ডিসেন্ট যা পেয়েছে: এসব প্রশ্নের উত্তর খুঁজতে দ্য ডিসেন্ট এর টিম জামায়াতের কেন্দ্রীয় অফিসে গিয়ে সংশ্লিষ্ট ইমেইল বার্তা ও ঠিকানাগুলো পর্যবেক্ষণ করেছে, ক্যামেরায় রেকর্ড করেছে, জামায়াতের আমীর সহ দলটির কেন্দ্রীয় বিভিন্ন নেতার সোশাল মিডিয়া একাউন্ট পরিচালকারী এডমিনদের সাথে কথা বলেছে, এবং দেশে ও বিদেশে অবস্থান করা অন্তত পাঁচজন আইটি ও সাইবার বিশেষজ্ঞের কাছ থেকে ফরেনসিক বিশ্লেষণ ও পর্যবেক্ষণ সংগ্রহ করেছে। এসবের ভিত্তিতে নিম্নোক্ত তথ্যগুলোর বিষয়ে নিশ্চিত হওয়া গেছে: ১. জামায়াতের কেন্দ্রীয় নেতাদের সোশাল মিডিয়া একাউন্ট পরিচালনা করা হয় এমন ডিভাইস ও একাউন্ট হ্যাকিংয়ের চেষ্টার প্রমাণ পাওয়া গেছে। তবে কোনো নির্দিষ্ট পোস্ট (যেমন জামায়াতের আমীরের একাউন্টের পোস্টটি) হ্যাকিংয়ের মাধ্যমে করা হয়েছে কিনা তা আলাদাভাবে যাচাই করা সম্ভব হয়নি। ২. বঙ্গভবনের আলোচিত কর্মকর্তার ইমেইল ঠিকানা ([email protected]) থেকে ৫ ও ১০ জানুয়ারি দুটি মেইল জামায়াতের বিভিন্ন ইমেইলে পাঠানো হয়েছে। ৩. সেই দুটি ইমেইলের এটাচমেন্ট ফাইলে ম্যালওয়্যারের উপস্থিতি নিশ্চিত হওয়া গেছে। দ্য ডিসেন্ট টিম ফাইলটি ইমেইলের মাধ্যমে নিজেদের ডিভাইসে নিয়ে সেটি পরীক্ষা করে ম্যালওয়্যারের উপস্থিতির বিষয়ে নিশ্চিত হয়েছে। এছাড়া একাধিক বিশেষজ্ঞও ফাইলটি পরীক্ষা করে একই ম্যালওয়্যার পেয়েছেন। ৪. অন্তত তিনজন আইটি বিশেষজ্ঞ নিশ্চিত করেছেন, প্রাপ্ত ম্যালওয়্যারের মাধ্যমে একটি ডিভাইস দূর থেকে নিয়ন্ত্রণ নিয়ে সেই ডিভাইসে লগইন করা কোন সামাজিক মাধ্যম একাউন্ট থেকে সেটির এডমিনের অজান্তে যে কোন ধরনের এক্টিভিটি সম্পন্ন করা সম্ভব। এবং এই পদ্ধতিতে ডিভাইস এবং একাউন্টের নিয়ন্ত্রণ গ্রহণ করে একটিভি চালানো হলে সেটির কোন প্রমাণ/নোটিফিকেশন/ওটিপি মূল এডমিনের একাউন্টে, ইমেইলে বা মোবাইল নম্বরে আসবে না।
ডিভাইস হ্যাকিং চেষ্টার যেসব প্রমাণ পাওয়া গেছে: দ্য ডিসেন্ট জামায়াতের ‘হ্যাকিংয়ের দাবি’কে দুই ভাগে যাচাই করেছে। প্রথম ভাগে দেখার চেষ্টা করেছে আমীর শফিকুর রহমানের পোস্টটি হ্যাকিংয়ের মাধ্যমে করা হয়েছে কিনা। এক্ষেত্রে ‘করা হয়েছে’ বা ‘হয়নি’ এমন কোন দাবি প্রমাণিত হওয়ার মতো যথেষ্ট প্রমাণ সংগ্রহ করা সম্ভব হয়নি। ফলে, দ্য ডিসেন্ট অন্য যেসব প্রমাণ সংগ্রহ করতে সক্ষম হয়েছে সেগুলোর ভিত্তিতে বুঝার চেষ্টা করেছে যে, আমীরের পোস্ট হ্যাকিংয়ের মাধ্যমে দেয়ার যে দাবি জামায়াতের পক্ষ থেকে করা হয়েছে সেই প্রক্রিয়াটি কারিগরিভাবে সম্ভব কিনা? যে পাঁচজন বিশেষজ্ঞের সাথে কথা বলা হয়েছে তারা সবাই বলেছেন, সম্ভব।
দ্বিতীয়ত, দ্য ডিসেন্ট আরও দেখার চেষ্টা করেছে যে, বঙ্গভবনের কর্মকর্তার ইমেইল থেকে বার্তা আসার পর আমীরের ঘটনার বাইরে অন্য কোন হ্যাকিং প্রচেষ্টার প্রমাণ পাওয়া যায় কিনা? এক্ষেত্রে একাধিক প্রমাণ পাওয়া গেছে যা থেকে নিশ্চিত হওয়া যায় যে, ইমেইল বার্তাটি পেয়ে সেটির ফাইল ওপেন করার পর জামায়াতের কেন্দ্রীয় নেতাদের সোশাল মিডিয়া একাউন্ট লগইন করা ডিভাইস ও একাউন্ট হ্যাকিংয়ের চেষ্টা হয়েছে। ৫ জানুয়ারি বঙ্গভবনের সহকারী প্রোগ্রামারের ইমেইল থেকে জামায়াতের কেন্দ্রীয় কয়েকটি ইমেইল ঠিকানায় প্রথম বার্তাটি আসে। ইমেইল বার্তাটি ৬ জানুয়ারি জামায়াত ঢাকা মহানগরী দক্ষিণের ইমেইল থেকে ওপেন করেন ঢাকা মহানগরী দক্ষিণের সেক্রেটারি ড. শফিকুল ইসলাম মাসুদ এবং সহকারী সেক্রেটারি দেলোয়ার হোসেনের ফেসবুক পেইজ পরিচালনা করেন এমন একজন এডমিন। এই এডমিন এই দুই নেতার ফেসবুক পেইজ একই ডিভাইস থেকে পরিচালনা করেন।
দ্য ডিসেন্ট এই দুই পেইজের লগ বিশ্লেষণ করে দেখেছে, ১২ জানুয়ারি সকাল ১১টা ১৬ মিনিটে রাজশাহী বিভাগের সান্তাহার এলাকা থেকে হ্যাকাররা দেলোয়ার হোসেনের পেইজের এডমিনের ব্যক্তিগত ফেসবুক আইডিতে প্রবেশ করে এবং পাসওয়ার্ড পরিবর্তন করে আইডির নিয়ন্ত্রণ নিয়ে নেয়। এডমিন যেই ব্যক্তিগত ফেসবুক আইডি দিয়ে দেলোয়ারের পেইজ পরিচালনা করেন সেটির সাথে যুক্ত জিমেইল একাউন্টটি একই ডিভাইসে লগইন করা ছিল। সকাল ১১টা ১৩ মিনিটে এডমিন লক্ষ্য করেন তার ব্যক্তিগত ইমেইলে ফেসবুক আইডির পাসওয়ার্ড পরিবর্তনের জন্য একটি ওটিপি এসেছে। সেই ওটিপি ব্যবহার করে ফেসবুক একাউন্টের পাসওয়ার্ড পরিবর্তন নিশ্চিত করার আরেকটি ইমেইল আসে ১১টা ১৬ মিনিটে। দ্য ডিসেন্ট এ সংক্রান্ত স্ক্রিনশট, লগ হিস্টোরি ও ইমেইল বার্তাগুলো দেখেছে। ১. হ্যাকার কর্তৃক পাসওয়ার্ড পরিবর্তনের ইমেইল পাঠানো হয়। ২. বঙ্গভবনের কর্মকর্তার ইমেইল ঠিকানা থেকে বার্তা এসেছিল।
ম্যালওয়্যার ফাইলটি ডিকোড করে সেটির ভেতরে যা পাওয়া গেছে তা হলো: ১. ছবিতে থাকা হিজিবিজি কোড গুলো আমরা ডিকোড করার চেষ্টা করেছি-প্রথমে base64 -এ এনকোডেড কোডগুলো ডিকোট করার চেষ্টা করে ব্যর্থ হই। ডিকোড করতে চেষ্টা করলে Invalid Input আসে, যা থেকে বোঝা যায় হ্যাকার এখানে সরাসরি সাধারণ Base64 ব্যবহার করেনি। অনেক সময় ডিটেকশন এড়াতে তারা কোডটিকে অ্যাডভান্সড এনক্রিপশন (যেমন AES) অথবা কাস্টম অবফাসকেশন (Obfuscation) লেয়ার দিয়ে আটকে রাখে।
এটি প্রমাণ করে যে: ১. এটি একটি পেশাদার মানের ট্রোজান (Trojan) যা সাধারণ নিরাপত্তা ব্যবস্থা বা নজরদারি এড়ানোর জন্য তৈরি করা হয়েছে। ২. এই পেলোডটি মেমরিতে এক্সিকিউট হয়ে সরাসরি ডিভাইসের নিয়ন্ত্রণ নিতে, ডিভাইসে লগডইন একাউন্ট থেকে পোস্ট করতে বা সেশন হাইজ্যাকিং করতে সক্ষম।
যা বলেছেন বিশেষজ্ঞরা: দ্য ডিসেন্ট বঙ্গভবনের সহকারী প্রোগ্রামারের ইমেইল থেকে প্রাপ্ত ফাইলটি পাঁচজন আইটি ও সাইবার নিরাপত্তা বিশেষজ্ঞকে দেখিয়েছে। এদের মধ্যে দুইজন নিজেরা ফাইলটির ফরেনসিক বিশ্লেষণ করেছেন। তাদের উভয়ের বিশ্লেষণে প্রাপ্ত ফলাফল দ্য ডিসেন্ট এর বিশ্লেষণের সাথে পুরোপুরি মিলেছে। অর্থাৎ, ফাইলটিতে যে ধরনের ম্যালওয়্যারের উপস্থিতি দ্য ডিসেন্ট এর টেকনিকাল টিম পেয়েছে তা বিশেষজ্ঞদের প্রাপ্ত ফলের সাথে সামঞ্জস্যপূর্ণ। এই বিশেষজ্ঞদের একজন হলেন নাফিজ আবরার, যিনি গুগলের সাবেক সফটওয়্যার ইঞ্জিনিয়ার এবং বর্তমানে অস্ট্রেলিয়ার কানতাস এয়ারলাইন্সে সিনিয়র ইঞ্জিনিয়ার হিসেবে কর্মরত।
