CYBINT-операция против спутниковой системы "Гонец", которую называют "российским аналогом Starlink"

Киберспециалисты из состава 256-й Кибер Штурмовой Дивизии, аналитической группы Ukrainian Militant и международного разведывательного сообщества InformNapalm провели очередную совместную CYBINT-операцию против российских предприятий, связанных с военно-промышленным комплексом Российской Федерации.

В ходе масштабной операции, продолжавшейся несколько лет, также удалось получить внутренние документы организаций, работающих в интересах российской армии. Одним из результатов стало получение доступа к закрытым перепискам и документации заместителя генерального директора АО «Спутниковая система «Гонец»» (далее по тексту СС «Гонец») и их подчиненных. В течение многих месяцев в период 2023-2025 годов информация системно передавалась Силам обороны Украины.

После завершения всех разведывательных этапов и закрытия источников получения информации участники операции выдержали длительную паузу для обеспечения безопасности сопутствующих операций (OPSEC) по связанным элементам.

Сегодня мы публикуем небольшую часть данных, которые с одной стороны служат подтверждением взлома внутренней документации СС “Гонец”, а с другой могут быть интересны широкой публике и оказать дополнительное влияние на упомянутые объекты этой операции.

Архивное видео из презентации СС «Гонец» Дмитрию Медведеву:

СС «Гонец» позиционируется в РФ как собственный «аналог Starlink» и в перспективе заявлено, что российские специалисты планируют устанавливать терминалы на БПЛА:

Однако по своим техническим характеристикам и возможностям он существенно отличается от американской системы. СС «Гонец» является многолетней попыткой россиян создать собственную низкоорбитальную систему связи, но по качеству услуг она значительно уступает американскому Starlink.

И торможение ее развития обусловлено не только санкционным давлением на РФ, но и успешными многолетними кибероперациями, организованными украинскими IT-специалистами.

В контексте напомним, что в феврале 2026 года ряд украинских изданий, в частности, онлайн-медиа Министерства обороны Украины АрмияInform, украинский новостной портал РБК-Украина и другие средства массовой информации рассказали о деталях другой уникальной CYBINT-операции украинских киберспециалистов, которые создали «ханипот» для оперативного выявления данных о местах точного расположения терминалов Starlink, которые нелегально ввозились в РФ через третьи страны и, которыми пользовались российские военные. Операция также способствовала выявлению лиц, пытавшихся предоставлять врагу услуги внесения терминалов в белые списки для обхода ограничений, наложенных компанией SpaceX.

Точки входа и компрометации данных СС «Гонец»

Непосредственными источниками одного из многочисленных утечек из СС «Гонец» стали ТОП-менеджеры и IT-специалисты, среди которых заместитель генерального директора Алексей Лабзин (Лабзин Алексей Михайлович).

В своем личном резюме Лабзин отмечал, что в его непосредственном подчинении – 3 отдела, 14 человек. Обслуживание ИТ-инфраструктуры в центральном офисе (110 ПК, 18 серверов, сетевое оборудование), а также поддержка 8 удаленных филиалов. Общее количество сотрудников – более 300 человек (PDF резюме 2023 года)

Среди долгого перечня основных своих функций в СС “Гонец” Лабзин указывал:

техническое обслуживание, восстановление работоспособности персональных компьютеров, печатающих устройств, иной оргтехники, серверов, сетевого оборудования локальной вычислительной сети, систем хранения данных;
организация разработки и реализация планов внедрения новой компьютерной техники и технологий;
обеспечение информационной безопасности…

Собственно информационную безопасность ему помогал обеспечивать еще один опытный военный специалист – Главный специалист службы криптографической защиты информации СС Гонец”, Владимир Катаев, также попавший в сети украинских киберспециалистов.

Здесь стоит сделать небольшое историческое отступление. Интересно, что до 2019 года Катаев проходил службу в должности старшего инженера в секретной воинской части 46179 (12-е Главное управление Министерства обороны России, отвечающее за ядерно-техническое обеспечение и безопасность Российской Федерации). И в целом всю свою военную карьеру служил в частях 12-го ГУ МО РФ на должностях, связанных с защитой военной тайны.

Теперь, когда мы познакомили вас с ведущими специалистами информационной безопасности и защиты информации «СС Гонец» можно перейти к сведениям о внутренней IT-инфраструктуре.

IT-инфраструктура СС «Гонец»

В открытых источниках СС «Гонец» описывается как низкоорбитальная система спутниковой связи. Ее назначение: обеспечение связи вне зон покрытия GSM, передача координатных данных, телеметрии, обмен сообщениями между абонентами и инфраструктурными объектами. СС «Гонец» входит в инфраструктуру космической отрасли РФ и работает в кооперации с госкорпорацией «Роскосмос». Кроме того, предприятие участвует в работе космической системы ретрансляции «Луч», которая обеспечивает передачу данных с ракет-носителей и космических аппаратов.

Наземная часть системы состоит из нескольких региональных станций, расположенных в Москве, Железногорске, Южно-Сахалинске, Мурманске, Ростове-на-Дону, Норильске и Анадыре. Особенно показателен объект в районе станции «Орбита» в Анадыре, который вместо адреса в документации указан по следующим координатам: 64°43’55.8″N 177°28’39.3″E

Внутренние документы, которые удалось извлечь в ходе CYBINT-операции, указывают, что по адресу г. Москва, ул. Бауманская, 53/2, который в официальных бумагах фигурирует как юридический, также концентрируется главная IT-инфраструктура.

В техническом задании на систему безопасности этот адрес указан как место развертывания центрального программного обеспечения системы контроля и управления доступом (СКУД). Это единый центр управления всей инфраструктурой.

Показательным фрагментом утечки стала таблица внутренней сети и документации системы 1С. В них прямо указано, что система дорабатывается для формирования отчетности о выполнении государственных контрактов в рамках государственных оборонных закупок МО РФ.

Внутренние документы показали также и воздействие международных санкций, из-за которых на оборудовании компании установлено устаревшее программное обеспечение.

Некоторые документы из массива для примера:

Техническое задание (ТЗ) на создание системы безопасности офисов СС «Гонец» (конвертировано в формат PDF для просмотра)
Концепция информатизации СС «Гонец» (PDF)
ТЗ доработки финансовой системы СС “Гонец” (PDF)

Москва, ул. Бауманская, 53/2

головной офис управления;
размещение центральной серверной инфраструктуры;
узел модернизации IP-телефонии и видеоконференцсвязи;
центральный сервер системы контроля доступа

Инфраструктура офиса включает:

около 60 рабочих станций;
серверную комнату;
маршрутизаторы и коммутаторы;
межсетевые экраны Altell Neo 120 и Cisco ASA 5505;
серверы DELL, Supermicro и Aquarius.

На серверах используются разные устаревшие операционные системы:

Windows Server 2016
Windows Server 2012 R2
Ubuntu
CentOS

Среди ключевых сервисов:

Active Directory
Microsoft Exchange
Hyper-V
DHCP, DNS
FTP

Фактически, эта площадка выступает центром управления всей корпоративной сетью.

Внутренняя сеть использовала подсеть: 192.168.20.*

Среди зафиксированных узлов:

192.168.20.1 – шлюз MicroTik
192.168.20.2 – контроллер домена
192.168.20.4 – почтовый сервер Exchange
192.168.20.7 – сервер 1С
192.168.20.9 – система контроля доступа Parsec
192.168.20.12 – документооборот + SQL
192.168.20.16 – Касперский Security Center
192.168.20.17 – Activity Monitor
192.168.20.25 – веб-хостинг
192.168.20.28 – SVN
192.168.20.190 – репозиторий для разработчиков

В сети также находятся IP-адреса камер видеонаблюдения и шлюзов других офисов.

Вывод

Эта операция CYBINT демонстрирует не только факт компрометации отдельного российского предприятия, но и системные проблемы кибербезопасности в критически важной инфраструктуре РФ. Полученные данные свидетельствуют, что даже структуры, интегрированные в военно-промышленный комплекс и связанные с космической отраслью, остаются уязвимыми из-за устаревшего программного обеспечения, централизованной архитектуры и человеческого фактора.

В то же время, обнародованные материалы – это лишь фрагмент значительно более широкого массива информации. Они дают представление о масштабе проникновения, но не раскрывают полную глубину доступа, сохраняя неопределенность для противника. Такой подход является частью современной киберстратегии, где информация используется не только как доказательство, но и как инструмент влияния.

Ключевой результат этой операции – это не только документы, но и подтверждение того, что украинские киберспециалисты способны системно работать против сложных объектов, сочетая технические возможности с аналитикой и долгосрочным планированием. В современной войне это становится отдельным фронтом, где успех определяется не количеством атак, а глубиной проникновения и качеством использования полученных данных.

Публикация несет ознакомительный характер: фиксирует факт компрометации ресурсов российской спутниковой системы “Гонец” и ее сотрудников, в то же время мы не раскрываем весь список полученной информации, чтобы оставить «туман войны» относительно глубины и степени проникновения в систему. В качестве послесловия мы можем показать пример документа, который периодически получают все основные российские предприятия ВПК.

В нем говорится о действиях украинских хакеров, использующих уязвимости программного обеспечения. Самое смешное – то, что эти рекомендации составляют люди, подобные Катаеву, которые всю жизнь работают в сфере защиты информации и государственной тайны.