CYBINT operace proti satelitnímu systému Goněc, který bývá označován za ruskou obdobu Starlinku

Kyber specialisté od 256. kyber útočné divize, analytické skupiny Ukrainian Militant a mezinárodní zpravodajské komunity InformNapalm provedli další společnou CYBINT operaci proti ruským korporacím s vazbami na vojenský průmysl Ruské federace.

V rámci rozsáhlé operace, která trvala několik let, se také podařilo získat interní dokumenty organizací pracujících pro ruskou armádu. Jedním z výsledků bylo zpřístupnění neveřejných komunikací a dokumentace zástupce generálního ředitele AO „Sputnikovaja sistěma „Goněc“ (dále v textu jen SS Goněc, česky Posel – pozn. překladatele) a jeho podřízených. Po dlouhé měsíce v letech 2023 až 2025 byly informace soustavně předávány obráncům Ukrajiny.

Po skončení veškerých zpravodajských etap a uzavření zdrojů pro získávání informací si účastníci operace nechali delší časový odstup kvůli zajištění bezpečnosti průvodních operací (OPSEC) týkajících se tečných prvků.

Dnes přinášíme menší část dat, která na jedné straně slouží jako důkaz nabourání interní dokumentace SS Goněc, na straně druhé mohou zajímat široké obecenstvo a ve větší míře ovlivnit zmíněné objekty předmětné operace.

Archivní video z prezentace SS Goněc Dmitriji Medvěděvovi:

SS Goněc je dnes v Rusku prezentován jako vlastní obdoba Starlinku a bylo oznámeno, že výhledově ruští odborníci plánují tyto terminály montovat na bezpilotní letouny.

Aktuálně se však svými technickými charakteristikami a možnostmi od amerického systému podstatně liší. SS Goněc je dlouholetým pokusem Rusů o vytvoření vlastního komunikačního systému na nízké oběžné dráze, kvalita služeb však za americkým Starlinkem výrazně zaostává.

Důvodem brzdění jeho vývoje pak není jen sankční tlak na RF, ale také dlouholeté úspěšné kyber operace organizované ukrajinskými IT specialisty.

V souvislosti připomeňme, že v únoru 2026 informovala řada ukrajinských vydání, zejména online médium Ministerstva obrany Ukrajiny ArmijaInform, ukrajinský zpravodajský portál RBC-Ukrajina a další média o podrobnostech jiné jedinečné CYBINT operace ukrajinských kyber specialistů, kteří vytvořili honeypot pro pohotové zjišťování dat o přesném umístění terminálů Starlink, které se nelegálně dovážely do RF přes třetí státy a jež používali ruští vojáci. Operace byla nápomocna také k odhalení osob, které se snažily poskytovat nepříteli služby zápisu terminálů na tzv. white listy za účelem obcházení restrikcí uvalených společností SpaceX.

Body vstupu a kompromitace dat SS Goněc

Přímými zdroji jednoho z mnoha úniků SS Goněc se stali top manažeři a IT specialisté, mezi nimiž nechybí zástupce generálního ředitele Alexej Michailovič Labzin.

Ve svém profesním životopise Labzin uváděl, že jsou mu přímo podřízeny 3 oddělení, 14 osob. Má na starosti servis IT infrastruktury v ústřední kanceláři (110 PC, 18 serverů, síťové vybavení), jakož i podporu 8 detašovaných poboček. Celkový počet zaměstnanců je přes 300 osob (PDF profesní životopis z roku 2023).

V rámci velkého seznamu svých hlavních funkcí u SS Goněc Labzin uváděl:

• technický servis, obnovení provozuschopnosti osobních počítačů, serverů, síťového vybavení místní výpočetní sítě, systémů pro uložení dat;
• organizaci vývoje a realizaci plánů implementace nové počítačové techniky a technologií;
• zajištění informační bezpečnosti…

Se zajišťováním vlastní informační bezpečnosti mu pomáhal další zkušený vojenský odborník, vrchní specialista služby kryptografického zabezpečení informací SS Goněc Vladimir Katajev, který byl také lapen do sítě ukrajinských kyber specialistů.

Zde má smysl odbočit do menší historické exkurze. Zajímavé je, že do roku 2019 Katajev sloužil na pozici vrchního inženýra u utajeného vojenského útvaru č. 46179 (12. hlavní ředitelství Ministerstva obrany Ruska, které má na starosti jaderné technické zajištění a bezpečnost Ruské federace). Celou svou vojenskou kariéru pak sloužil u útvarů 12. hlavního ředitelství Ministerstva obrany RF na pozicích spojených s ochranou vojenského tajemství.

---

Čtěte také: Poljus-24 a vojenský útvar č. 33949: jak dokumenty, které získali kyber specialisté, vedou k sektoru strategických jaderných sil RF

---

Nyní, když jsme vás seznámili s předními specialisty na informační bezpečnost a ochranu informací SS Goněc, můžeme přejít k informacím z interní IT infrastruktury.

IT infrastruktura SS Goněc

Veřejné zdroje popisují SS Goněc jako satelitní komunikační systém s nízkou oběžnou dráhou. Jeho účelem je zajištění komunikace mimo oblasti pokrytí GSM, přenos souřadnicových dat, telemetrie, výměna zpráv mezi účastníky a infrastrukturními objekty. SS Goněc patří do infrastruktury kosmického odvětví RF a pracuje v součinnosti se státní korporací Roskosmos. Korporace se dále podílí na činnosti kosmického retranslačního systému Luč, který zajišťuje datové přenosy z nosných raket a kosmických aparátů.

Pozemní část systému tvoří několik regionálních stanic rozmístěných v Moskvě, Železnogorsku, Južno-Sachalinsku, Murmansku, Rostově na Donu, Norilsku a Anadyru. Zvlášť ukázkový je objekt v lokalitě stanice Orbita v Anadyru, u nějž jsou v dokumentaci místo adresy uvedeny tyto souřadnice: 64°43’55.8″N 177°28’39.3″E.

Interní dokumenty, které se v rámci CYBINT operace podařilo vytáhnout, říkají, že na adrese v Moskvě, ul. Baumanskaja 53/2, která v oficiálních písemnostech figuruje jako sídlo, se také soustřeďuje hlavní IT infrastruktura.

V technickém zadání na bezpečnostní systém figuruje stejná adresa jako umístění ústředního softwarového zajištění systému pro kontrolu a řízení přístupu (SKŘP). Je to jediné řídicí centrum celé infrastruktury.

Ukázkovým fragmentem úniku se stala tabulka interní sítě a dokumentace k systému 1C. Tyto listiny přímo uvádějí, že je systém dopracováván pro generování výkaznictví k plnění státních kontraktů v rámci státních obranných zakázek Ministerstva obrany RF.

Interní dokumenty ukázaly také vliv působení mezinárodních sankcí, jejichž důsledkem je zastaralost nainstalovaného softwaru.

Některé dokumenty z penza na ukázku:

1. Technické zadání (TZ) na vytvoření bezpečnostního systému kanceláří SS Goněc (zkonvertováno do formátu PDF pro prohlížení)
2. Koncept informatizace SS Goněc (PDF)
3. TZ dopracování finančního systému SS Goněc (PDF)

Moskva, ul. Baumanskaja 53/2

• hlavní řídicí kancelář;
• umístění ústřední serverové infrastruktury;
• uzel modernizace IP telefonie a videokonferenčního spojení;
• ústřední server systému přístupové kontroly.

Infrastruktura kanceláře zahrnuje:

• cca 60 pracovních stanic;
• serverovnu;
• routery a komutátory;
• firewally Altell Neo 120 a Cisco ASA 5505;
• servery DELL, Supermicro a Aquarius.

Na serverech se používají různé zastaralé operační systémy:

• Windows Server 2016
• Windows Server 2012 R2
• Ubuntu
• CentOS

Mezi klíčové servisy patří:

• Active Directory
• Microsoft Exchange
• Hyper-V
• DHCP, DNS
• FTP

De facto tato platforma funguje jako řídicí centrum celé korporátní sítě.

Mezi zaznamenané uzly patří:

• 168.20.1 brána MicroTik
• 168.20.2 řadič domény
• 168.20.4 mailový server Exchange
• 168.20.7 server 1С
• 168.20.9 systém přístupové kontroly Parsec
• 168.20.12 tok dokumentů + SQL
• 168.20.16 Kaspersky Security Center
• 168.20.17 Activity Monitor
• 168.20.25 webhosting
• 168.20.28 SVN
• 168.20.190 repozitář pro vývojáře

V síti dále nechybí IP adresy monitorovacích kamer a brán jiných kanceláří.

Závěr

Tato CYBINT operace neukazuje jen kompromitaci jednotlivé ruské korporace, ale také systémové problémy s kyberbezpečností v kriticky významné infrastruktuře RF. Získaná data dokládají, že dokonce i struktury integrované do vojenského průmyslu a spojené s kosmickým odvětvím zůstávají zranitelné kvůli zastaralému softwaru, centralizované architektuře a lidskému faktoru.

Zveřejněné podklady jsou zároveň pouhým fragmentem mnohem širšího penza informací. Poskytují představu o rozsahu penetrace, neprozrazují však plnou hloubku přístupu, což udržuje nepřítele v nejistotě. Tento přístup je součástí moderní kyber strategie, kdy jsou informace využívány nejen jako důkaz, ale i jako vlivový nástroj.

Klíčovým výstupem této operace nejsou jen získané dokumenty, ale také potvrzení, že ukrajinští kyber specialisté dokážou pracovat proti náročným objektům, kdy technické možnosti spojují s analytikou a dlouhodobým plánováním. V moderní válce se z toho stává samostatná fronta, kde je úspěch definován nejen počtem útoků, ale také hloubkou penetrace a kvalitou používání získaných dat.

Publikace má poznávací povahu: zachycuje kompromitaci zdrojů ruského satelitního systému Goněc a jeho zaměstnanců, zároveň však neprozrazujeme celý výčet získaných informací, abychom ponechali „válečnou mlhu“ co se týče hloubky a míry penetrace systému. Jako dovětek můžeme uvést ukázku dokumentu, který je pravidelně doručován všem hlavním ruským korporacím ve vojenském průmyslu.

Píše se tu o akcích ukrajinských hackerů, kteří využívají zranitelností softwaru. Vtipné je, že podobná doporučení vydávají lidé jako je Katajev, kteří celý život pracují v oblasti ochrany informací a státního tajemství.

Čtěte také

• „Dokážeme provézt i atomovku“: jak důstojníci 291. pluku Ozbrojených sil RF a Vostok-Achmat zorganizovali pašování zbraní přes Krym
• Ukrajinští hackeři odhalili, jak operátoři ruských dronů využívají Bělorusko
• OKBMLeaks: tajné dokumenty výrobce součástek pro Su-57 a PLK DL Poslannik

---

Tato publikace je zpracována speciálně pro čtenáře webu InformNapalm. Šíření nebo převzetí s odkazem na zdroj je vítáno. (Creative Commons — Attribution 4.0 International — CC BY 4.0). Přihlaste se k odběru novinek na české stránce komunity InformNapalm na Facebooku: InformNapalm Česko.

---

InformNapalm nedostává žádnou finanční podporu od vlád ani od dárců. Zajišťovat provoz webu pomáhají pouze dobrovolníci pracující pro naši komunitu a naši čtenáři. Přidat se mezi dobrovolníky můžete i vy, popř. podpořit InformNapalm svými dary.

---

Překlad: Svatoslav Ščyhol