Cyberspecialister fra 256 Cyber Assault Division, analysegruppen Ukrainian Militant og InformNapalm har gennemført endnu en fælles CYBINT-operation mod Gonets og andre russiske virksomheder med tilknytning til Ruslands militærindustrielle kompleks.

Under den omfattende operation, som varede i flere år, blev der også sikret interne dokumenter fra organisationer, der opererer i den russiske hærs interesse. Et af resultaterne var adgang til intern korrespondance og dokumentation fra vicegeneraldirektøren for Sputnikovaya Sistema Gonets samt hans medarbejdere. I flere måneder mellem 2023 og 2025 blev oplysninger systematisk overført til Ukraines forsvarsstyrker.

Operativ pause og selektiv offentliggørelse

Efter at samtlige efterretningsfaser var afsluttet, og informationskilderne lukket, gennemførte deltagerne en længere pause af hensyn til operativ sikkerhed og for at beskytte relaterede operationer samt sikkerhedsinteresser.

I dag offentliggøres en begrænset del af materialet. Oplysningerne udgør dels en bekræftelse på indtrængen i Gonets’ interne dokumentation, dels information af offentlig interesse, som kan lægge yderligere pres på de berørte mål.

I en arkivvideo præsenteres Gonets for Dmitrij Medvedev, tidligere russisk præsident og næstformand for Ruslands sikkerhedsråd.

Gonets markedsføres i Rusland som et nationalt alternativ til Starlink. Russiske repræsentanter oplyser også, at terminaler på sigt skal kunne installeres på ubemandede luftfartøjer.

Systemets tekniske ydeevne og operative kapacitet halter dog tydeligt efter den amerikanske løsning. Gonets er resultatet af et langvarigt russisk forsøg på at opbygge et eget lavbanebaseret kommunikationssystem, men kvaliteten af tjenesterne vurderes at ligge klart under Starlinks niveau.

Udviklingen er blevet bremset ikke kun af sanktionspresset mod Rusland, men også af flere års vellykkede cyberoperationer organiseret af ukrainske IT-specialister.

I den forbindelse kan det nævnes, at flere ukrainske medier i februar 2026, herunder forsvarsministeriets netavis ArmiyaInform og nyhedsportalen RBK-Ukraine, har rapporteret om en anden omfattende CYBINT-operation. Ukrainske cyberspecialister oprettede da en såkaldt honeypot, en digital fælde, for at identificere de præcise positioner for Starlink-terminaler, som ulovligt var blevet indført i Rusland via tredjelande og anvendt af russiske militære enheder.

Operationen bidrog også til at afsløre personer, som forsøgte at tilbyde fjenden tjenester for at få terminaler optaget på såkaldte hvide lister og dermed omgå begrænsninger indført af SpaceX.

Adgangsveje og indtrængen i Gonets

Bag en af flere datalækager fra Gonets stod selskabets øverste ledelse og IT-specialister. Blandt dem var vicegeneraldirektør Aleksej Labzin.

Ifølge sit CV fra 2023 har Aleksej Labzin direkte ansvar for tre afdelinger med i alt 14 medarbejdere (PDF). Ansvaret omfatter driften af IT-infrastrukturen på hovedkontoret, herunder 110 computere, 18 servere og netværksudstyr, samt støtte til otte regionale filialer. Det samlede antal ansatte oplyses til over 300 personer.

Labzin angiver følgende som sine primære arbejdsopgaver i Gonets:

• Teknisk service, fejlretning og genetablering af drift i personcomputere, servere, netværksudstyr, lokale netværk og datalagringssystemer
• Organisering af udvikling samt gennemførelse af planer for indførelse af ny computerteknologi og nye tekniske løsninger
• Ansvar for informationssikkerhed

I arbejdet med informationssikkerhed bistås han også af en anden erfaren militær specialist, Vladimir Katayev, chefsspecialist inden for kryptografisk informationsbeskyttelse ved Gonets. Også han oplyses at være kommet i søgelyset hos ukrainske cyberspecialister.

Sagen rummer også en interessant historisk baggrund. Frem til 2019 gjorde Katayev tjeneste som senioringeniør ved den hemmeligstemplede militære enhed 46179, som hører under det 12. hoveddirektorat i Ruslands forsvarsministerium. Enheden har ansvar for atomteknisk støtte og sikkerhed i Rusland.

Under sin militære karriere gjorde han hovedsageligt tjeneste i enheder knyttet til samme direktoratsstruktur, i stillinger med ansvar for beskyttelse af militære hemmeligheder.

Efter denne gennemgang af nøglepersoner inden for Gonets’ informationssikkerhed kan oplysninger om selskabets interne IT-infrastruktur præsenteres.

Gonets’ interne IT-infrastruktur

I åbne kilder beskrives Gonets som et lavbanebaseret satellitkommunikationssystem. Systemet anvendes til kommunikation uden for GSM-nettenes dækningsområder, overførsel af koordinatdata og telemetri samt udveksling af beskeder mellem brugere og infrastrukturobjekter.

Gonets indgår i Ruslands ruminfrastruktur og samarbejder med Roscosmos.

Selskabet deltager også i driften af rumsystemet Luch, som anvendes til dataoverførsel fra bæreraketter og rumfartøjer.

Den jordbaserede del af systemet består af flere regionale stationer i Moskva, Zjeleznogorsk, Juzjno-Sakhalinsk, Murmansk, Rostov-na-Donu, Norilsk og Anadyr i Tjukotka længst mod øst i Rusland.

Et særligt interessant objekt findes i området omkring stationen Orbita i Anadyr, det administrative centrum i Tjukotka. I dokumentationen angives stedet ikke med adresse, men med koordinaterne 64°43’55.8″N 177°28’39.3″E.

Central IT-infrastruktur i Moskva

Interne dokumenter, som blev sikret under CYBINT-operationen, viser, at adressen Baumanskaja 53/2 i Moskva, som i officielle dokumenter er angivet som juridisk adresse, også udgør navet i IT-infrastrukturen.

I teknisk dokumentation for sikkerhedssystemet angives samme adresse som placeringen af den centrale software til systemet for adgangskontrol og adgangsstyring. Herfra sker den samlede styring af hele infrastrukturen, og stedet udgør systemets eneste centrale styringsknudepunkt.

Et opsigtsvækkende element i lækagen var en oversigt over det interne netværk samt dokumentation vedrørende forretningssystemet 1C. Heraf fremgår det udtrykkeligt, at systemet videreudvikles til rapportering om gennemførelsen af statslige kontrakter inden for rammerne af Ruslands forsvarsanskaffelser.

De interne dokumenter viser også konsekvenserne af internationale sanktioner, som har medført, at installeret software er blevet forældet.

Intern dokumentation og IT-infrastruktur hos Gonets

Følgende interne dokumenter indgår i det materiale, der blev sikret:

• Teknisk specifikation for udvikling af sikkerhedssystemer til Gonets’ kontorer (PDF)
• Koncept for digitalisering og IT-udvikling i Gonets (PDF)
• Teknisk specifikation for videreudvikling af det finansielle system (PDF)

Anlæg i Moskva

På adressen Baumanskaja 53/2 i Moskva findes følgende funktioner:

• Hovedkontor for ledelse og styring
• Central serverinfrastruktur
• Centralt knudepunkt for IP-telefoni og videokonferencesystemer
• Central server til systemet for adgangskontrol

IT-infrastruktur i kontormiljø

Kontormiljøet omfatter følgende komponenter:

• Cirka 60 arbejdsstationer
• Serverrum
• Routere og switche
• Firewalls af typen Altell Neo 120 og Cisco ASA 5505
• Servere fra Dell, Supermicro og Aquarius

Operativsystemer

Flere forskellige og delvist forældede operativsystemer anvendes på serverne:

• Windows Server 2016
• Windows Server 2012 R2
• Ubuntu
• CentOS

Centrale tjenester

Følgende IT-tjenester anvendes i infrastrukturen:

• Active Directory
• Microsoft Exchange
• Hyper-V
• DHCP og DNS
• FTP

Samlet set udgør anlægget centrum for styringen af hele det interne netværk.

Internt netværk og registrerede noder

Det interne netværk er konfigureret i subnettet 192.168.20.*.

Blandt registrerede noder findes følgende:

• 192.168.20.1 MicroTik-gateway
• 192.168.20.2 domænecontroller
• 192.168.20.4 Exchange-mailserver
• 192.168.20.7 1C-server
• 192.168.20.9 Parsec adgangskontrolsystem
• 192.168.20.12 dokumenthåndtering og SQL
• 192.168.20.16 Kaspersky Security Center
• 192.168.20.17 Activity Monitor
• 192.168.20.25 webserver eller webhosting
• 192.168.20.28 SVN
• 192.168.20.190 kodearkiv for udviklere

Der findes også IP-adresser knyttet til overvågningskameraer samt gateways til andre kontorer.

Konklusioner

Det indsamlede materiale peger på tilbagevendende svagheder i cybersikkerheden inden for russisk samfundskritisk infrastruktur. Også virksomheder med tilknytning til forsvarsindustrien og rumsektoren fremstår som sårbare som følge af forældet software, centraliserede systemløsninger og menneskelige fejl.

Materialet viser også, at indtrængen mod komplekse mål kan gennemføres over længere tid og metodisk gennem en kombination af teknisk kapacitet, analyse og langsigtet planlægning.

I moderne krigsførelse har cyberdomænet udviklet sig til et selvstændigt operationsområde, hvor resultater ofte afgøres af adgang til information, indtrængningens dybde og evnen til at omsætte efterretninger til operative resultater.

Begrænset offentliggørelse og operativ sikkerhed

Det materiale, der offentliggøres, udgør kun en del af et betydeligt større informationsgrundlag. Udvælgelsen er foretaget af hensyn til operativ sikkerhed efter etablerede OPSEC-principper for ikke at eksponere igangværende eller relaterede operationer.

Denne begrænsning indebærer, at det fulde omfang af indtrængningen og adgangen til systemerne ikke redegøres for. Dermed er der fortsat usikkerhed om indtrængningens dybde og rækkevidde.

Som eksempel kan også nævnes et dokument, der periodisk distribueres til ledende russiske virksomheder inden for forsvarsindustrien, og som omhandler forholdsregler mod ukrainske cyberangreb, der udnytter sårbarheder i software.

Læs andre artikler fra InformNapalm

• Våbensmugling via Krim i det russiske 291. regiment og Vostok-Achmat
• Danmark og Ukraine i Europas omformede sikkerhedsstruktur
• Forhandlinger uden våbenhvile følger etableret stormagtslogik

Distribution og genoptryk med kildehenvisning er velkomne! Creative Commons – Attribution 4.0 International – CC BY 4.0. Følg os på Facebook og Twitter.

InformNapalm modtager ingen økonomisk støtte fra nogen regering eller sponsor. Organisationens eneste støtter er individuelle frivillige og læsere. Man kan også støtte InformNapalm ved at give månedlige minidonationer via Buymeacoffee.