লন্ডনের পরিবহন ব্যবস্থা অচল করা সাইবার হামলা: ব্রিটিশ-বাংলাদেশি থালহা জুবায়েরসহ দুই হ্যাকারকে সাড়ে পাঁচ বছরের কারাদণ্ডডেস্ক রিপোর্ট:
২০২৪ সালের সেপ্টেম্বরে লন্ডনের গণপরিবহন ব্যবস্থার অন্যতম প্রধান সংস্থা ট্রান্সপোর্ট ফর লন্ডন (Transport for London–TfL)-এর ডিজিটাল অবকাঠামোয় নজিরবিহীন সাইবার হামলা চালিয়ে জনজীবনে বড় ধরনের বিঘ্ন সৃষ্টি করার দায়ে দুই তরুণ হ্যাকারকে সাড়ে পাঁচ বছরের কারাদণ্ড দিয়েছেন যুক্তরাজ্যের উলউইচ ক্রাউন কোর্ট।
গত ১৬ জুলাই ঘোষিত রায়ে দণ্ডিত হন ব্রিটিশ-বাংলাদেশি থালহা জুবায়ের (২০) এবং তাঁর সহযোগী ওয়েন ফ্লাওয়ার্স (১৮)। আদালত বলেছেন, রাষ্ট্রীয় পৃষ্ঠপোষকতায় নয়, বরং আত্মপ্রদর্শন ও অপরাধমূলক উদ্দেশ্যে তারা এ হামলা চালিয়েছিল।
যেভাবে শুরু হয়েছিল হামলা
তদন্তে উঠে এসেছে, ২০২৪ সালের ৩১ আগস্ট থেকে ৩ সেপ্টেম্বর পর্যন্ত কয়েক দিন ধরে TfL-এর নেটওয়ার্কে অনুপ্রবেশ করে হ্যাকাররা। সে সময় ফ্লাওয়ার্সের বয়স ছিল ১৭ বছর এবং জুবায়েরের বয়স ১৮ বছর।
তারা পরিকল্পিতভাবে সপ্তাহান্তের রাতে হামলা শুরু করে, যখন আইটি কর্মীদের উপস্থিতি তুলনামূলকভাবে কম ছিল।
প্রথম ধাপে, সামাজিক প্রকৌশল (Social Engineering) কৌশল ব্যবহার করে TfL-এর হেল্পডেস্কের এক কর্মীকে প্রতারণার মাধ্যমে একজন কর্মচারীর পাসওয়ার্ড রিসেট করানো হয়। এরপর সেই পরিচয় ব্যবহার করে তারা Microsoft Azure-এ লগইন করে এবং প্রতিষ্ঠানের নিজস্ব সিস্টেম থেকেই নেটওয়ার্কে প্রবেশ করে।
প্রসিকিউশনের তথ্য অনুযায়ী, প্রায় ১৬ ঘণ্টার ধারাবাহিক কার্যক্রমের মাধ্যমে তারা পুরো নেটওয়ার্কের সর্বোচ্চ প্রশাসনিক (Global Administrator) নিয়ন্ত্রণ নিজেদের হাতে নিয়ে নেয়।
আদালতে প্রসিকিউটর মার্ক ফেনহলস বলেন,
"তারা কার্যত পুরো নেটওয়ার্কের চাবি নিজেদের হাতে তুলে নিয়েছিল।"
তদন্তে আরও জানা যায়, ফ্লাওয়ার্স পুরো হ্যাকিং কার্যক্রম লাইভস্ট্রিম করছিলেন এবং পুরো সময়জুড়ে টেলিগ্রামের মাধ্যমে জুবায়েরের সঙ্গে যোগাযোগ রক্ষা করছিলেন।
লন্ডনের পরিবহন ব্যবস্থায় বড় ধরনের বিপর্যয়
এর প্রভাবে—
প্রায় ২৭ হাজার কর্মীকে অফিসে গিয়ে নতুন করে পাসওয়ার্ড ও নিরাপত্তা পরিচয়পত্র (Credentials) রিসেট করতে হয়।
প্রতিবন্ধী ও দুর্বল নাগরিকদের জন্য পরিচালিত Dial-a-Ride সেবা সাময়িকভাবে বন্ধ হয়ে যায়।
অনলাইনে Oyster Card-এর আবেদন ও ব্যবস্থাপনা সেবা স্থগিত হয়ে যায়।
প্রায় ৭ থেকে ১০ মিলিয়ন গ্রাহকের নাম, ঠিকানা ও ই-মেইল তথ্য ফাঁস হয়।
প্রায় ৫ হাজার ব্যাংক হিসাব নম্বর ও Sort Code হ্যাকারদের হাতে চলে যায়।
TfL জানিয়েছে, হামলা মোকাবিলা, সিস্টেম পুনরুদ্ধার এবং নিরাপত্তা জোরদারে ব্যয় হয়েছে ২৯ মিলিয়ন পাউন্ড। এছাড়া সেবায় বিঘ্নের কারণে অতিরিক্ত প্রায় ১০ মিলিয়ন পাউন্ড রাজস্ব হারিয়েছে সংস্থাটি।
শুরুতে মোট ক্ষতির পরিমাণ ৩৯ মিলিয়ন পাউন্ড ধরা হলেও পরবর্তী মূল্যায়নে সরাসরি পুনরুদ্ধার ব্যয় ২৯ মিলিয়ন পাউন্ডে সংশোধন করা হয়।
যুক্তরাজ্যের ন্যাশনাল ক্রাইম এজেন্সি (NCA) সতর্ক করে জানিয়েছে, যদি হামলাকারীরা পুরো পরিবহন নেটওয়ার্ক সম্পূর্ণভাবে অচল করে দিতে সক্ষম হতো, তাহলে যুক্তরাজ্যের অর্থনীতিতে সম্ভাব্য ক্ষতির পরিমাণ ৫৬ বিলিয়ন পাউন্ড পর্যন্ত পৌঁছাতে পারত।
থালহা জুবায়ের: দীর্ঘ অপরাধ ইতিহাস
পূর্ব লন্ডনের বো (Bow) এলাকার একটি ফ্ল্যাটে বাবা-মায়ের সঙ্গে বসবাস করতেন থালহা জুবায়ের।
আদালতে জানানো হয়, তাঁর বাবা একজন কেয়ারকর্মী এবং মা ছেলের দেখাশোনার জন্য নিজের চাকরি ছেড়ে দিয়েছিলেন।
জুবায়ের অটিজম স্পেকট্রাম ডিসঅর্ডার এবং ক্লিনিক্যাল ডিপ্রেশনে ভুগছিলেন।
তবে এসবের পাশাপাশি তাঁর অপরাধের ইতিহাসও ছিল দীর্ঘ।
কিশোর বয়স থেকেই অনলাইন প্রতারণা ও কম্পিউটার অপরাধে তাঁর বিরুদ্ধে ২২টি পূর্ববর্তী দণ্ড (Previous Convictions) ছিল।
তদন্তে উঠে আসে, এর আগে তিনি—
যুক্তরাষ্ট্রের চিপ নির্মাতা NVIDIA-এর সিস্টেমে,
এবং City of London Police-এর নেটওয়ার্কেও সাইবার হামলা চালিয়েছিলেন।
ওয়েন ফ্লাওয়ার্সের বিরুদ্ধেও গুরুতর অভিযোগ
ফ্লাওয়ার্স যুক্তরাজ্যের ওয়েস্ট মিডল্যান্ডসের ওয়ালসাল এলাকায় তাঁর নানি ও মামার সঙ্গে বসবাস করতেন।
২০২৩ সালের অক্টোবরে মাত্র ১৬ বছর বয়সেই তিনি সাইবার অপরাধের জন্য পুলিশের আনুষ্ঠানিক সতর্কবার্তা (Youth Caution) পেয়েছিলেন।
গ্রেপ্তারের সময় তিনি যুক্তরাষ্ট্রের দুই বৃহৎ স্বাস্থ্যসেবা প্রতিষ্ঠান—
SSM Health
Sutter Health
—এর নেটওয়ার্কে হামলা চালাচ্ছিলেন।
তদন্তে জানা যায়, তিনি সিস্টেম লক করে দেওয়ার হুমকি দিয়েছিলেন এবং স্বীকার করেছিলেন যে এতে "৯০ বছর বয়সী কোনো রোগী মারা যেতে পারে"—তবুও তিনি হামলা চালিয়ে যেতে প্রস্তুত ছিলেন।
যেভাবে ধরা পড়লেন জুবায়ের
তদন্তকারীরা ডিজিটাল ফরেনসিক বিশ্লেষণের মাধ্যমে হ্যাকারদের পরিচয় শনাক্ত করেন।
প্রমাণ হিসেবে পাওয়া যায়—
ক্রিপ্টোকারেন্সি ওয়ালেট থেকে গিফট কার্ড কেনার তথ্য,
অনলাইন গেমিং অ্যাকাউন্টে অর্থপ্রদানের রেকর্ড,
টেলিগ্রাম চ্যাট,
সার্ভার লগ,
বিভিন্ন ডিজিটাল ট্রেস।
এসব তথ্য বিশ্লেষণ করে তদন্তকারীরা জুবায়েরের অনলাইন পরিচয়ের সঙ্গে পূর্ব লন্ডনের বাসার সরাসরি সংযোগ স্থাপন করেন।
পরে তাঁর বাসায় অভিযান চালিয়ে একটি বাংলাদেশি পাসপোর্ট উদ্ধার করা হয়, যার বিষয়ে পূর্বে কর্তৃপক্ষকে অবহিত করা হয়নি।
আদালতের রায়
দুই আসামিই Computer Misuse Act-এর Section 3ZA-এর আওতায় দোষ স্বীকার করেন।
এই ধারায় গুরুত্বপূর্ণ জাতীয় অবকাঠামোর বিরুদ্ধে গুরুতর সাইবার হামলার জন্য সর্বোচ্চ যাবজ্জীবন কারাদণ্ডের বিধান রয়েছে।
রায় ঘোষণাকালে বিচারক মার্ক টার্নার বলেন,
"এটি রাষ্ট্রীয় পৃষ্ঠপোষকতায় পরিচালিত কোনো হামলা ছিল না; বরং আত্মপ্রদর্শন ও স্বার্থপর মানসিকতার বহিঃপ্রকাশ।"
আসামিদের বয়স, অটিজম এবং ক্লিনিক্যাল ডিপ্রেশনের মতো নিউরোডাইভারজেন্ট অবস্থা বিবেচনায় নিয়ে আদালত উভয়কে সাড়ে পাঁচ বছরের কারাদণ্ড দেন।
যুক্তরাষ্ট্রে আরও বড় বিচারের মুখে থালহা জুবায়ের
যুক্তরাজ্যের মামলার রায় হলেও জুবায়েরের সামনে আরও বড় আইনি লড়াই অপেক্ষা করছে যুক্তরাষ্ট্রে।
মার্কিন বিচার বিভাগের অভিযোগ অনুযায়ী, ২০২২ সালের মে থেকে ২০২৫ সালের সেপ্টেম্বর পর্যন্ত তিনি ও তাঁর সহযোগীরা যুক্তরাষ্ট্রের অন্তত ৪৭টি প্রতিষ্ঠানে ১২০টিরও বেশি সাইবার হামলা চালিয়েছেন।
অভিযোগে বলা হয়েছে—
বিভিন্ন ডিজিটাল ওয়ালেটের মাধ্যমে ২০০ মিলিয়ন ডলারের বেশি মূল্যের ক্রিপ্টোকারেন্সি লেনদেন হয়েছে।
ভুক্তভোগীরা অন্তত ১১৫ মিলিয়ন ডলার মুক্তিপণ দিতে বাধ্য হয়েছেন।
এছাড়া জুবায়ের যুক্তরাষ্ট্রের ফেডারেল কোর্ট সিস্টেমেও অনুপ্রবেশ করেছিলেন।
তদন্ত অনুযায়ী, তিনি এক ফেডারেল বিচারকের ই-মেইল অ্যাকাউন্টে প্রবেশ করে নিজের এবং Scattered Spider গোষ্ঠীর বিরুদ্ধে কোনো সাবপোনা (Subpoena) জারি হয়েছে কি না, তা খুঁজে দেখেছিলেন।
মার্কিন আদালতে অভিযোগ প্রমাণিত হলে তাঁর বিরুদ্ধে সর্বোচ্চ ৯৫ বছরের কারাদণ্ড হতে পারে।
যুক্তরাজ্যে সাজা শেষ হওয়ার পর তাঁকে যুক্তরাষ্ট্রে প্রত্যর্পণের প্রক্রিয়া শুরু হতে পারে বলে ধারণা করা হচ্ছে।
'Scattered Spider': বিশ্বের আলোচিত সাইবার অপরাধী গোষ্ঠী
এই গোষ্ঠীর বিরুদ্ধে যুক্তরাজ্যের Marks & Spencer, Co-op-সহ একাধিক বড় প্রতিষ্ঠানে সাইবার হামলার অভিযোগ রয়েছে।
যুক্তরাজ্য, যুক্তরাষ্ট্র এবং ফিনল্যান্ডে এই গোষ্ঠীর একাধিক সদস্যকে ইতোমধ্যে গ্রেপ্তার করা হয়েছে।
NCA জানিয়েছে, জুবায়ের ও ফ্লাওয়ার্সের গ্রেপ্তারের পর গোষ্ঠীটির কার্যক্রম কার্যত ভেঙে পড়ে।
মাইক্রোসফটও বলেছে, এই গ্রেপ্তারগুলো Scattered Spider-এর সক্ষমতাকে উল্লেখযোগ্যভাবে দুর্বল করেছে।
ডিজিটাল নিরাপত্তার জন্য বড় সতর্কবার্তা
সাইবার নিরাপত্তা বিশেষজ্ঞদের মতে, এই ঘটনা আধুনিক রাষ্ট্রের গুরুত্বপূর্ণ অবকাঠামোর নিরাপত্তা নিয়ে নতুন করে উদ্বেগ সৃষ্টি করেছে।
TfL-এর মতো একটি গুরুত্বপূর্ণ গণপরিবহন ব্যবস্থায় কয়েকজন দক্ষ হ্যাকার দূর থেকে হামলা চালিয়ে পুরো শহরের সেবা ব্যাহত করতে সক্ষম হয়েছে—যা ভবিষ্যতের জন্য বড় সতর্কসংকেত।
একই সঙ্গে এই মামলাটি দেখিয়েছে, অপরাধীরা যতই প্রযুক্তিনির্ভর হোক না কেন, শেষ পর্যন্ত ডিজিটাল ফরেনসিক, সার্ভার লগ, যোগাযোগের রেকর্ড এবং অনলাইন আর্থিক লেনদেনই তাদের বিরুদ্ধে সবচেয়ে শক্তিশালী প্রমাণে পরিণত হতে পারে।
NCA-এর সাইবার অপরাধ বিভাগের প্রধান পল ফস্টার এই মামলাকে "যুক্তরাজ্যের আদালতে আনা সবচেয়ে বড় সাইবার অপরাধের বিচারগুলোর একটি" বলে অভিহিত করেছেন।
অন্যদিকে প্রসিকিউটর লিওনেল ইদান সতর্ক করে বলেন,
"সংগঠিত অপরাধ এখন ক্রমেই বৈশ্বিক হয়ে উঠছে, আর সাইবার অপরাধ সেই বৈশ্বিক অপরাধের সবচেয়ে দ্রুত বিস্তার লাভ করা ক্ষেত্রগুলোর একটি।"








