Киберспециалисты из состава 256-й Кибер Штурмовой Дивизии, аналитической группы Ukrainian Militant и международного разведывательного сообщества InformNapalm провели очередную совместную CYBINT-операцию против российских предприятий, связанных с военно-промышленным комплексом Российской Федерации.
В ходе масштабной операции, продолжавшейся несколько лет, также удалось получить внутренние документы организаций, работающих в интересах российской армии. Одним из результатов стало получение доступа к закрытым перепискам и документации заместителя генерального директора АО «Спутниковая система «Гонец»» (далее по тексту СС «Гонец») и их подчиненных. В течение многих месяцев в период 2023-2025 годов информация системно передавалась Силам обороны Украины.
После завершения всех разведывательных этапов и закрытия источников получения информации участники операции выдержали длительную паузу для обеспечения безопасности сопутствующих операций (OPSEC) по связанным элементам.
Сегодня мы публикуем небольшую часть данных, которые с одной стороны служат подтверждением взлома внутренней документации СС “Гонец”, а с другой могут быть интересны широкой публике и оказать дополнительное влияние на упомянутые объекты этой операции.
Архивное видео из презентации СС «Гонец» Дмитрию Медведеву:
СС «Гонец» позиционируется в РФ как собственный «аналог Starlink» и в перспективе заявлено, что российские специалисты планируют устанавливать терминалы на БПЛА:
Однако по своим техническим характеристикам и возможностям он существенно отличается от американской системы. СС «Гонец» является многолетней попыткой россиян создать собственную низкоорбитальную систему связи, но по качеству услуг она значительно уступает американскому Starlink.
И торможение ее развития обусловлено не только санкционным давлением на РФ, но и успешными многолетними кибероперациями, организованными украинскими IT-специалистами.
В контексте напомним, что в феврале 2026 года ряд украинских изданий, в частности, онлайн-медиа Министерства обороны Украины АрмияInform, украинский новостной портал РБК-Украина и другие средства массовой информации рассказали о деталях другой уникальной CYBINT-операции украинских киберспециалистов, которые создали «ханипот» для оперативного выявления данных о местах точного расположения терминалов Starlink, которые нелегально ввозились в РФ через третьи страны и, которыми пользовались российские военные. Операция также способствовала выявлению лиц, пытавшихся предоставлять врагу услуги внесения терминалов в белые списки для обхода ограничений, наложенных компанией SpaceX.
Точки входа и компрометации данных СС «Гонец»
Непосредственными источниками одного из многочисленных утечек из СС «Гонец» стали ТОП-менеджеры и IT-специалисты, среди которых заместитель генерального директора Алексей Лабзин (Лабзин Алексей Михайлович).
В своем личном резюме Лабзин отмечал, что в его непосредственном подчинении – 3 отдела, 14 человек. Обслуживание ИТ-инфраструктуры в центральном офисе (110 ПК, 18 серверов, сетевое оборудование), а также поддержка 8 удаленных филиалов. Общее количество сотрудников – более 300 человек (PDF резюме 2023 года)
Среди долгого перечня основных своих функций в СС “Гонец” Лабзин указывал:
- техническое обслуживание, восстановление работоспособности персональных компьютеров, печатающих устройств, иной оргтехники, серверов, сетевого оборудования локальной вычислительной сети, систем хранения данных;
- организация разработки и реализация планов внедрения новой компьютерной техники и технологий;
- обеспечение информационной безопасности…
Собственно информационную безопасность ему помогал обеспечивать еще один опытный военный специалист – Главный специалист службы криптографической защиты информации СС Гонец”, Владимир Катаев, также попавший в сети украинских киберспециалистов.
Здесь стоит сделать небольшое историческое отступление. Интересно, что до 2019 года Катаев проходил службу в должности старшего инженера в секретной воинской части 46179 (12-е Главное управление Министерства обороны России, отвечающее за ядерно-техническое обеспечение и безопасность Российской Федерации). И в целом всю свою военную карьеру служил в частях 12-го ГУ МО РФ на должностях, связанных с защитой военной тайны.
Читайте также: «Полюс-24» и в/ч 33949: как полученные киберспециалистами документы вывели на сектор стратегических ядерных сил РФ
Теперь, когда мы познакомили вас с ведущими специалистами информационной безопасности и защиты информации «СС Гонец» можно перейти к сведениям о внутренней IT-инфраструктуре.
IT-инфраструктура СС «Гонец»
В открытых источниках СС «Гонец» описывается как низкоорбитальная система спутниковой связи. Ее назначение: обеспечение связи вне зон покрытия GSM, передача координатных данных, телеметрии, обмен сообщениями между абонентами и инфраструктурными объектами. СС «Гонец» входит в инфраструктуру космической отрасли РФ и работает в кооперации с госкорпорацией «Роскосмос». Кроме того, предприятие участвует в работе космической системы ретрансляции «Луч», которая обеспечивает передачу данных с ракет-носителей и космических аппаратов.
Наземная часть системы состоит из нескольких региональных станций, расположенных в Москве, Железногорске, Южно-Сахалинске, Мурманске, Ростове-на-Дону, Норильске и Анадыре. Особенно показателен объект в районе станции «Орбита» в Анадыре, который вместо адреса в документации указан по следующим координатам: 64°43’55.8″N 177°28’39.3″E
Внутренние документы, которые удалось извлечь в ходе CYBINT-операции, указывают, что по адресу г. Москва, ул. Бауманская, 53/2, который в официальных бумагах фигурирует как юридический, также концентрируется главная IT-инфраструктура.
В техническом задании на систему безопасности этот адрес указан как место развертывания центрального программного обеспечения системы контроля и управления доступом (СКУД). Это единый центр управления всей инфраструктурой.
Показательным фрагментом утечки стала таблица внутренней сети и документации системы 1С. В них прямо указано, что система дорабатывается для формирования отчетности о выполнении государственных контрактов в рамках государственных оборонных закупок МО РФ.
Внутренние документы показали также и воздействие международных санкций, из-за которых на оборудовании компании установлено устаревшее программное обеспечение.
Некоторые документы из массива для примера:
- Техническое задание (ТЗ) на создание системы безопасности офисов СС «Гонец» (конвертировано в формат PDF для просмотра)
- Концепция информатизации СС «Гонец» (PDF)
- ТЗ доработки финансовой системы СС “Гонец” (PDF)
Москва, ул. Бауманская, 53/2
- головной офис управления;
- размещение центральной серверной инфраструктуры;
- узел модернизации IP-телефонии и видеоконференцсвязи;
- центральный сервер системы контроля доступа
Инфраструктура офиса включает:
- около 60 рабочих станций;
- серверную комнату;
- маршрутизаторы и коммутаторы;
- межсетевые экраны Altell Neo 120 и Cisco ASA 5505;
- серверы DELL, Supermicro и Aquarius.
На серверах используются разные устаревшие операционные системы:
- Windows Server 2016
- Windows Server 2012 R2
- Ubuntu
- CentOS
Среди ключевых сервисов:
- Active Directory
- Microsoft Exchange
- Hyper-V
- DHCP, DNS
- FTP
Фактически, эта площадка выступает центром управления всей корпоративной сетью.
Внутренняя сеть использовала подсеть: 192.168.20.*
Среди зафиксированных узлов:
- 192.168.20.1 – шлюз MicroTik
- 192.168.20.2 – контроллер домена
- 192.168.20.4 – почтовый сервер Exchange
- 192.168.20.7 – сервер 1С
- 192.168.20.9 – система контроля доступа Parsec
- 192.168.20.12 – документооборот + SQL
- 192.168.20.16 – Касперский Security Center
- 192.168.20.17 – Activity Monitor
- 192.168.20.25 – веб-хостинг
- 192.168.20.28 – SVN
- 192.168.20.190 – репозиторий для разработчиков
В сети также находятся IP-адреса камер видеонаблюдения и шлюзов других офисов.
Вывод
Эта операция CYBINT демонстрирует не только факт компрометации отдельного российского предприятия, но и системные проблемы кибербезопасности в критически важной инфраструктуре РФ. Полученные данные свидетельствуют, что даже структуры, интегрированные в военно-промышленный комплекс и связанные с космической отраслью, остаются уязвимыми из-за устаревшего программного обеспечения, централизованной архитектуры и человеческого фактора.
В то же время, обнародованные материалы – это лишь фрагмент значительно более широкого массива информации. Они дают представление о масштабе проникновения, но не раскрывают полную глубину доступа, сохраняя неопределенность для противника. Такой подход является частью современной киберстратегии, где информация используется не только как доказательство, но и как инструмент влияния.
Ключевой результат этой операции – это не только документы, но и подтверждение того, что украинские киберспециалисты способны системно работать против сложных объектов, сочетая технические возможности с аналитикой и долгосрочным планированием. В современной войне это становится отдельным фронтом, где успех определяется не количеством атак, а глубиной проникновения и качеством использования полученных данных.
Публикация несет ознакомительный характер: фиксирует факт компрометации ресурсов российской спутниковой системы “Гонец” и ее сотрудников, в то же время мы не раскрываем весь список полученной информации, чтобы оставить «туман войны» относительно глубины и степени проникновения в систему. В качестве послесловия мы можем показать пример документа, который периодически получают все основные российские предприятия ВПК.
В нем говорится о действиях украинских хакеров, использующих уязвимости программного обеспечения. Самое смешное – то, что эти рекомендации составляют люди, подобные Катаеву, которые всю жизнь работают в сфере защиты информации и государственной тайны.
Читайте также:
- «Можем хоть ядерку провезти»: как офицеры 291-го полка ВС РФ и «Восток-Ахмат» наладили контрабанду оружия через Крым
- Украинские хакеры выявили, как операторы российских дронов используют Беларусь
- OKBMLeaks: секретные документы производителя компонентов для Су-57 и ПАК ДА «Посланник»
