Киберспециалисти от 256-та Кибер Щурмова Дивизия, аналитичната група от Ukrainian Militant и международната разследваща общност InformNapalm проведоха поредната съвместна CYBINT операция срещу предприятия, свързани с военно-промишления комплекс на Руската Федерация.
По време на мащабната операция, продължила няколко години, бяха получени и вътрешни документи на организации, работещи в интерес на руската армия. Един от резултатите беше достъпът до закрита кореспонденция и документация на заместник-генералния директор на АД „Спътникова система „Гонец““ и неговия екип. В продължение на месеци в периода 2023-2025 г. информацията системно беше предавана на Силите за отбрана на Украйна.
След завършване на всички разузнавателни етапи и затваряне на източниците за извличане на информация, участниците в операцията изчакаха дълга пауза от оперативни съображения за сигурност и за защита на свързаните със съответните елементи операции (OPSEC).
Днес публикуваме малка част от данните, които от една страна служат като потвърждение за хакването на вътрешната документация на СС „Гонец“, а от друга – могат да представляват интерес за широката общественост и да окажат допълнително въздействие върху споменатите обекти на тази операция.
Архивно видео от представянето на СС „Гонец“ на Дмитрий Медведев:
СС „Гонец“ в момента се позиционира в РФ като собствен „аналог на Starlink“ и е заявено, че в бъдеще руските специалисти планират да инсталират терминали на безпилотни летателни апарати:
Въпреки, че в момента, по отношение на техническите си характеристики и възможности, тя значително се различава от американската система. СС „Гонец“ представлява дългогодишните опити на руснаците да създадат собствена нискоорбитална комуникационна система, но по качество на услугите тя значително отстъпва на американската Starlink.
Забавянето в нейното развитие се дължи не само на санкционния натиск върху РФ, но и на дългогодишни успешни кибероперации, организирани от украински IT специалисти.
В този контекст припомняме, че през февруари 2026 г. редица украински издания като онлайн медията на Министерството на отбраната на Украйна АрміяInform, украинският новинарски портал РБК-Україна и други медии съобщиха детайли от друга уникална специална CYBINT операция на украинските киберспециалисти, които създадоха „Honeypot“ за оперативно идентифициране на данни за точното местоположение на терминали на Starlink, незаконно внасяни в РФ през трети страни и използвани от руските военни. Операцията допринесе и за идентифицирането на лица, които са се опитвали да предоставят на врага услуги за внасяне на терминали в „белите списъци“, за заобикаляне на ограниченията, наложени от SpaceX.
Точки на влизане и компрометиране на данни на СС “Гонец”
Непосредствени източници на едно от многобройните изтичания на СС “Гонец” станаха топ мениджъри и IT специалисти, включително заместник-генералният директор Алексей Лабзин (на руски: Алексей Михайлович Лабзин).
В автобиографията си Лабзин отбелязва, че под негово пряко ръководство са 3 отдела и 14 души. Поддръжка на ІТ инфраструктурата в централния офис (110 компютъра, 18 сървъра, мрежово оборудване), както и поддръжка на 8 отдалечени клона. Общият брой на служителите е над 300 души (PDF на автобиография 2023 г.).
Сред дългия списък с основните си функции в СС „Гонец“, Лабзин посочва:
- техническа поддръжка, възстановяване на работоспособността на персонални компютри, сървъри, мрежово оборудване на локалната компютърна мрежа, системи за съхранение на данни;
- организация на разработването и изпълнението на планове за внедряване на ново компютърно оборудване и технологии;
- осигуряване на информационна сигурност…
Всъщност, по информационната сигурност му е помагал още един опитен военен специалист – главният експерт на Службата за криптографска защита на информацията на „СС „Гонец“, Владимир Катаев, който също попадна в капана на украинските киберспециалисти.
Тук си струва да се направи малко историческо отклонение. Интересно е, че до 2019 г. Катаев служи като старши инженер в секретното военно поделение 46179 (12-то главно управление на Министерството на отбраната на Русия, което отговаря за ядрено-техническото осигуряване и сигурността на РФ). И като цяло, през цялата си военна кариера е служил в подразделения на 12-то ГУ на МО на РФ на длъжности, свързани със защитата на военни тайни.
Четете още: “Полюс-24” и в/п 33949: кибероперация, свързана със стратегическите ядрени сили на РФ
След като ви запознахме с водещите специалисти по информационна сигурност и защита на СС „Гонец“, можем да преминем към детайлите на вътрешната IT инфраструктура.
IT инфраструктура на СС „Гонец“
В отворени източници СС „Гонец“ е описана като нискоорбитална сателитна комуникационна система. Нейното предназначение: осигуряване на комуникация извън зоните на покритие на GSM, предаване на координатни данни, телеметрия и обмен на съобщения между абонати и инфраструктурни съоръжения. СС „Гонец“ е част от инфраструктурата на руската космическа индустрия и работи в сътрудничество с държавната корпорация „Роскосмос“. Освен това, компанията участва в работата на космическата релейна система „Луч“, която осигурява предаване на данни от ракети-носители и космически кораби.
Наземната част на системата се състои от няколко регионални станции, разположени в Москва, Железногорск, Южно-Сахалинск, Мурманск, Ростов на Дон, Норилск и Анадир. Особено показателен е обект в района на станция „Орбита“ в Анадир, който вместо адрес в документацията е посочен със следните координати: 64°43’55.8″N 177°28’39.3″E
Вътрешни документи, успешно извлечени по време на CYBINT операцията, установяват, че основната IT инфраструктура е концентрирана на адреса, фигуриращ в официалните документи като юридически адрес – гр. Москва, ул. „Бауманская“, 53/2.
В техническите спецификации за системата за сигурност същият адрес фигурира като място за разполагане на централния софтуер на системата за контрол и управление на достъпа (СКД). Това е единственият център за управление за цялата инфраструктура.
Показателен фрагмент от изтеклата информация е таблица на вътрешната мрежа и документация за системата 1C. В тях директно се посочва, че системата се доработва, за да генерира отчети за изпълнението на държавни договори в рамките на държавните отбранителни поръчки на МО на РФ.
Вътрешните документи показват и последиците от международните санкции, които обуславят остарялостта на инсталирания софтуер .
Някои документи от масива като пример:
- Техническо задание (ТС) за създаване на система за сигурност за офисите на СС „Гонец“ (конвертирано във формат PDF за преглед)
- Концепция за информатизация на СС „Гонец“ (PDF)
- ТЗ за доработка на финансовата система на СС „Гонец“ (PDF)
Москва, ул. Бауманска, 53/2
- главен офис на управлението;
- местоположение на централната сървърна инфраструктура;
- възел за модернизация на IP телефония и видеоконферентна връзка;
- централен сървър на системата за контрол на достъпа.
Инфраструктурата на офиса включва:
- около 60 работни станции;
- сървърна зала;
- рутери и комутатори;
- защитни стени Altell Neo 120 и Cisco ASA 5505;
- сървъри DELL, Supermicro и Aquarius.
Сървърите използват различни стари операционни системи:
- Windows Server 2016
- Windows Server 2012 R2
- Ubuntu
- CentOS
Сред ключовите услуги са:
- Active Directory
- Microsoft Exchange
- Hyper-V
- DHCP, DNS
- FTP
Всъщност, тази централа действа като контролен център за цялата корпоративна мрежа.
Вътрешната мрежа използва подмрежа: 192.168.20.*
Сред регистрираните възли:
- 192.168.20.1 шлюз MicroTik
- 192.168.20.2 домейн контролер
- 192.168.20.4 пощенски сървър Exchange
- 192.168.20.7 сървър 1С
- 192.168.20.9 система за контрол на достъпа Parsec
- 192.168.20.12 документооборот + SQL
- 192.168.20.16 Kaspersky Security Center
- 192.168.20.17 Activity Monitor
- 192.168.20.25 уеб-хостинг
- 192.168.20.28 SVN
- 192.168.20.190 хранилище за разработчици
Мрежата съдържа и IP адреси на камери за видеонаблюдение и шлюзове от други офиси.
Заключение
Тази CYBINT операция демонстрира не само факта на компрометиране на отделно руско предприятие, но и системните проблеми с киберсигурността в критичната инфраструктура на РФ. Получените данни показват, че дори структури, интегрирани във военно-промишления комплекс и свързани с космическата индустрия, остават уязвими поради остарял софтуер, централизирана архитектура и човешки фактор.
В същото време публикуваните материали са само фрагмент от много по-широк информационен масив. Те дават представа за мащаба на проникване, но не разкриват пълната дълбочина на достъпа, запазвайки несигурност у противника. Този подход е част от съвременната киберстратегия, където информацията се използва не само като доказателство, но и като инструмент за влияние.
Ключовият резултат от тази операция са не само получените документи, но и потвърждението, че украинските киберспециалисти са способни да работят систематично срещу сложни обекти, комбинирайки технически възможности с аналитика и дългосрочно планиране. В съвременната война това се превръща в отделен фронт, където успехът се определя не от броя на атаките, а от дълбочината на проникване и качеството на използване на получените данни.
Публикацията е с информативен характер: тя документира факта на компрометиране на ресурсите на руската спътникова система „Гонец“ и нейните служители, без да разкриваме целия списък с получена информация, за да оставим „на тъмно“ дълбочината и степента на проникване в системите. Като послеслов можем да покажем пример за документ, който периодично получават всички големи предприятия на руския военно-промишлен комплекс.
В него се говори за действията на украински хакери, които се възползват от софтуерни уязвимости. Забавно е, че тези препоръки са направени от хора като Катаев, които са работили цял живот в областта на защитата на информацията и държавната тайна.
Четете още
- OKBMLeaks: секретни документи на производителя на компоненти за Су-57 и “Пратеник”
- “И ядерка можем да прекараме”: канал за контрабанда на оръжие през Крим, организиран от руски офицери от 291-ви полк и „Восток-Ахмат“
- Украински хакери разкриват как руските оператори на дронове използват Беларус
(Creative Commons — Attribution 4.0 International — CC BY 4.0)
Последвайте InformNapalm в социалните мрежи Facebook / Тwitter / Telegram / Slate (Sl8).
