Cyberspezialisten von 256 Cyber Assault Division, der Analysegruppe Ukrainian Militant und InformNapalm haben eine weitere gemeinsame CYBINT-Operation gegen Gonets und andere russische Unternehmen mit Verbindungen zum militärisch-industriellen Komplex Russlands durchgeführt.

Während der umfangreichen Operation, die sich über mehrere Jahre erstreckte, konnten auch interne Dokumente von Organisationen gesichert werden, die im Interesse der russischen Armee tätig sind. Zu den Ergebnissen gehörte der Zugang zu interner Korrespondenz und Dokumentation des stellvertretenden Generaldirektors von Sputnikovaya Sistema Gonets sowie seiner Mitarbeiter. Über mehrere Monate zwischen 2023 und 2025 wurden Informationen systematisch an die Verteidigungskräfte der Ukraine übermittelt.

Operative Pause und gezielte Veröffentlichung

Nachdem sämtliche Aufklärungsphasen abgeschlossen und die Informationsquellen geschlossen worden waren, legten die Beteiligten aus Gründen der operativen Sicherheit eine längere Pause ein, um benachbarte Einsätze sowie Sicherheitsinteressen zu schützen.

Heute wird ein begrenzter Teil des Materials veröffentlicht. Die Informationen bestätigen einerseits den Zugriff auf die interne Dokumentation von Gonets und liefern andererseits Angaben von öffentlichem Interesse, die zusätzlichen Druck auf die betroffenen Ziele ausüben können.

Ein Archivvideo zeigt eine Präsentation von Gonets für Dmitri Medwedew, den ehemaligen russischen Präsidenten und stellvertretenden Vorsitzenden des Sicherheitsrates Russlands.

Gonets wird in Russland als nationale Alternative zu Starlink vermarktet. Russische Vertreter geben zudem an, dass Terminals künftig auch auf unbemannten Luftfahrzeugen installiert werden sollen.

Die technische Leistungsfähigkeit und operative Kapazität des Systems unterscheiden sich jedoch deutlich von der amerikanischen Lösung. Gonets ist das Ergebnis eines langjährigen russischen Versuchs, ein eigenes Kommunikationssystem im niedrigen Erdorbit aufzubauen, die Qualität der Dienste liegt jedoch deutlich unter dem Niveau von Starlink.

Die Entwicklung wurde nicht nur durch den Sanktionsdruck gegen Russland gebremst, sondern auch durch mehrjährige erfolgreiche Cyberoperationen ukrainischer IT-Spezialisten.

In diesem Zusammenhang ist anzumerken, dass mehrere ukrainische Medien im Februar 2026, darunter die Onlinezeitung des Verteidigungsministeriums ArmiyaInform und das Nachrichtenportal RBK-Ukraine, über eine weitere umfangreiche CYBINT-Operation berichtet haben. Ukrainische Cyberspezialisten richteten dabei einen sogenannten Honeypot, eine digitale Falle, ein, um die exakten Standorte von Starlink-Terminals zu ermitteln, die illegal über Drittstaaten nach Russland eingeführt und von russischen Militäreinheiten genutzt worden waren.

Die Operation trug außerdem dazu bei, Personen zu identifizieren, die dem Gegner Dienstleistungen anboten, um Terminals auf sogenannte Whitelists setzen zu lassen und so von SpaceX verhängte Beschränkungen zu umgehen.

Zugangswege und Kompromittierung von Gonets

Hinter einem der mehreren Datenlecks bei Gonets standen hochrangige Führungskräfte und IT-Spezialisten des Unternehmens. Unter ihnen befand sich der stellvertretende Generaldirektor Aleksej Labzin.

Laut dem persönlichen Lebenslauf von Aleksej Labzin aus dem Jahr 2023 ist er direkt verantwortlich für drei Abteilungen mit insgesamt 14 Mitarbeitern. Sein Verantwortungsbereich umfasst den Betrieb der IT-Infrastruktur am Hauptsitz, darunter 110 Rechner, 18 Server und Netzwerktechnik, sowie die Unterstützung von acht regionalen Niederlassungen. Die Gesamtzahl der Beschäftigten wird mit mehr als 300 angegeben.

Zu den wesentlichen Aufgabenbereichen Labzins bei Gonets zählen folgende Aufgaben:

• Technischer Service sowie Wiederherstellung der Funktionsfähigkeit von Rechnern, Servern, Netzwerktechnik, lokalen Netzwerken und Datenspeichersystemen
• Organisation von Entwicklungsprozessen sowie Umsetzung von Plänen zur Einführung neuer Computertechnik und technischer Lösungen
• Verantwortung für die Informationssicherheit

Im Bereich der Informationssicherheit wird er zudem von einem weiteren erfahrenen Militärspezialisten unterstützt. Vladimir Katajew ist leitender Spezialist für kryptografischen Informationsschutz bei Gonets. Auch er soll ins Visier ukrainischer Cyberspezialisten geraten sein.

Auch sein beruflicher Werdegang ist von Interesse. Bis 2019 war Katajew als leitender Ingenieur in der geheim eingestuften Militäreinheit 46179 tätig, die dem 12. Hauptdirektorat des russischen Verteidigungsministeriums untersteht. Diese Einheit ist für nukleartechnische Unterstützung und Sicherheitsaufgaben in Russland zuständig.

Während seiner militärischen Laufbahn war er überwiegend in Verbänden derselben Direktionsstruktur tätig, in Funktionen mit Verantwortung für den Schutz militärischer Geheimnisse.

Nach diesem Überblick über zentrale Akteure im Bereich der Informationssicherheit von Gonets können nun nähere Angaben zur internen IT-Infrastruktur des Unternehmens vorgestellt werden.

Die interne IT-Infrastruktur von Gonets

In öffentlich zugänglichen Quellen wird Gonets als satellitengestütztes Kommunikationssystem im niedrigen Erdorbit beschrieben. Das System dient der Kommunikation außerhalb der GSM-Netzabdeckung, der Übermittlung von Koordinatendaten und Telemetrie sowie dem Nachrichtenaustausch zwischen Nutzern und Infrastrukturobjekten. Gonets ist Teil der russischen Raumfahrtinfrastruktur und arbeitet mit Roscosmos zusammen.

Das Unternehmen ist zudem am Betrieb des Raumfahrtsystems Luch beteiligt, das zur Datenübertragung von Trägerraketen und Raumfahrzeugen genutzt wird.

Der bodengebundene Teil des Systems besteht aus mehreren regionalen Stationen in Moskau, Schelesnogorsk, Juschno-Sachalinsk, Murmansk, Rostow am Don, Norilsk und Anadyr in Tschukotka im äußersten Osten Russlands.

Ein besonders aufschlussreiches Objekt befindet sich im Umfeld der Station Orbita in Anadyr, dem Verwaltungszentrum von Tschukotka. In der Dokumentation wird der Standort nicht mit einer Adresse, sondern mit den Koordinaten 64°43’55.8″N 177°28’39.3″E angegeben.

Zentrale IT-Infrastruktur in Moskau

Interne Dokumente, die im Verlauf der CYBINT-Operation gesichert wurden, zeigen, dass die Adresse Baumanskaja 53/2 in Moskau, die in offiziellen Unterlagen als Geschäftsanschrift geführt wird, zugleich das zentrale Drehkreuz der IT-Infrastruktur bildet.

In technischer Dokumentation zum Sicherheitssystem wird dieselbe Adresse als Standort der zentralen Software für das System zur Zutritts- und Zugangskontrolle genannt. Von dort aus erfolgt die Steuerung der gesamten Infrastruktur. Zudem handelt es sich um die einzige zentrale Steuerungsinstanz des Systems.

Ein besonders aufschlussreicher Teil des Datenlecks war eine Tabelle über das interne Netzwerk sowie Unterlagen zum ERP-System 1C. Daraus geht ausdrücklich hervor, dass das System zur Berichterstattung über die Erfüllung staatlicher Verträge im Rahmen russischer Verteidigungsbeschaffungen weiterentwickelt wird.

Die internen Dokumente zeigen zudem die Auswirkungen internationaler Sanktionen, durch die installierte Software inzwischen veraltet ist.

Interne Dokumentation und IT-Infrastruktur von Gonets

Die folgenden internen Dokumente sind Teil des gesicherten Materials:

• Technische Spezifikation für die Entwicklung von Sicherheitssystemen für die Büros von Gonets (PDF)
• Konzept zur Digitalisierung und IT-Weiterentwicklung innerhalb von Gonets (PDF)
• Technische Spezifikation zur Weiterentwicklung des Finanzsystems (PDF)

Standort in Moskau

An der Adresse Baumanskaja 53/2 in Moskau sind folgende Bereiche untergebracht:

• Hauptsitz für Leitung und Steuerung
• Zentrale Serverinfrastruktur
• Zentraler Knotenpunkt für IP-Telefonie und Videokonferenzsysteme
• Zentraler Server für das Zutrittskontrollsystem

IT-Infrastruktur des Bürostandorts

Der Bürostandort umfasst folgende Komponenten:

• Rund 60 Arbeitsstationen
• Serverraum
• Router und Switches
• Firewalls der Typen Altell Neo 120 und Cisco ASA 5505
• Server von Dell, Supermicro und Aquarius

Betriebssysteme

Auf den Servern kommen mehrere unterschiedliche und teilweise veraltete Betriebssysteme zum Einsatz:

• Windows Server 2016
• Windows Server 2012 R2
• Ubuntu
• CentOS

Zentrale Dienste

In der Infrastruktur kommen folgende IT-Dienste zum Einsatz:

• Active Directory
• Microsoft Exchange
• Hyper-V
• DHCP und DNS
• FTP

Zusammenfassend fungiert der Standort als Steuerungszentrum des gesamten internen Netzwerks.

Interne Netzwerkknoten und erfasste Systeme

Das interne Netzwerk ist dem Subnetz 192.168.20.* zugeordnet.

Unter den erfassten Systemen befinden sich folgende:

• 192.168.20.1 MikroTik-Gateway
• 192.168.20.2 Domänencontroller
• 192.168.20.4 Exchange-Mailserver
• 192.168.20.7 1C-Server
• 192.168.20.9 Zutrittskontrollsystem Parsec
• 192.168.20.12 Dokumentenmanagementsystem mit SQL-Datenbank
• 192.168.20.16 Kaspersky Security Center
• 192.168.20.17 Activity Monitor
• 192.168.20.25 Webserver bzw. Hosting-Dienst
• 192.168.20.28 SVN
• 192.168.20.190 Code-Repository für Entwickler

Im Netzwerk finden sich zudem IP-Adressen, die Überwachungskameras sowie Gateway-Geräten anderer Standorte zugeordnet sind.

Schlussfolgerungen

Das gesicherte Material weist auf wiederkehrende Defizite in der Cybersicherheit der kritischen Infrastruktur Russlands hin. Auch Einrichtungen mit Verbindungen zur Verteidigungsindustrie und zum Raumfahrtsektor erweisen sich infolge veralteter Software, zentralisierter Systemarchitekturen und menschlicher Fehler als anfällig.

Das Material zeigt zudem, dass Cyberoperationen gegen komplexe Ziele langfristig und methodisch durch die Kombination technischer Fähigkeiten, analytischer Auswertung und langfristiger Planung durchgeführt werden können.

In der modernen Kriegsführung hat sich der Cyberraum zu einem eigenständigen Operationsfeld entwickelt, in dem Ergebnisse häufig vom Zugang zu Informationen, der Tiefe des Zugriffs und der Fähigkeit abhängen, gewonnene Erkenntnisse operativ zu nutzen.

Begrenzte Veröffentlichung und operative Sicherheit

Das veröffentlichte Material stellt lediglich einen Teil eines deutlich größeren Informationsbestandes dar. Die Auswahl erfolgte unter Berücksichtigung operativer Sicherheit nach etablierten OPSEC-Prinzipien, um laufende oder damit verbundene Operationen nicht offenzulegen.

Diese Begrenzung bedeutet, dass das vollständige Ausmaß des Eindringens sowie der Zugang zu den Systemen nicht offengelegt werden. Damit bleibt eine Unsicherheit hinsichtlich der Tiefe und Reichweite des Zugriffs bestehen.

Als Beispiel kann zudem ein Dokument genannt werden, das in regelmäßigen Abständen an führende russische Unternehmen der Verteidigungsindustrie verteilt wird und Maßnahmen gegen ukrainische Cyberangriffe behandelt, die Schwachstellen in Software ausnutzen.

Weitere Artikel von InformNapalm

• Private Diplomatie bedroht europäische Sicherheit durch Untergrabung der transatlantischen Ordnung
• Slowakischer Informationsdienst SIS unter der Leitung von Pavol Gašpar
• Waffenschmuggel über die Krim im russischen 291. Regiment und bei Vostok-Achmat

Es steht Ihnen frei, dieses Material zu teilen, aber fügen Sie bitte einen Link zur Quelle hinzu. Creative Commons – Attribution 4.0 International – CC BY 4.0. Folgen Sie uns auf Facebook und Twitter.

InformNapalm erhält keine finanzielle Unterstützung von irgendeiner Regierung oder einem Sponsor. Unsere einzigen Sponsoren sind einzelne Freiwillige und Leser. Sie können InformNapalm auch unterstützen, indem Sie monatliche Minispenden über Buymeacoffee tätigen.