Cyberspesialister fra 256 Cyber Assault Division, analysegruppen Ukrainian Militant og InformNapalm har gjennomført enda en felles CYBINT-operasjon mot Gonets og andre russiske selskaper med tilknytning til Russlands militærindustrielle kompleks.

Under den omfattende operasjonen, som pågikk i flere år, ble også interne dokumenter fra organisasjoner som opererer i den russiske hærens interesse sikret. Et av resultatene var tilgang til intern korrespondanse og dokumentasjon fra visegeneraldirektøren i Sputnikovaya Sistema Gonets samt hans medarbeidere. I flere måneder mellom 2023 og 2025 ble informasjon systematisk overført til Ukrainas forsvarsstyrker.

Operativ pause og selektiv publisering

Etter at samtlige etterretningsfaser var avsluttet og informasjonskildene stengt, gjennomførte deltakerne en lengre pause av hensyn til operativ sikkerhet og for å beskytte tilknyttede operasjoner samt sikkerhetsinteresser.

I dag publiseres en begrenset del av materialet. Opplysningene utgjør dels en bekreftelse på inntrengning i Gonets’ interne dokumentasjon, dels informasjon av allmenn interesse som kan skape ytterligere påvirkning mot de berørte målene.

I en arkivvideo presenteres Gonets for Dmitrij Medvedev, tidligere russisk president og nestleder i Russlands sikkerhetsråd.

Gonets markedsføres i Russland som et nasjonalt alternativ til Starlink. Russiske representanter opplyser også at terminaler på sikt skal kunne installeres på ubemannede luftfartøy.

Systemets tekniske ytelse og operative kapasitet skiller seg imidlertid tydelig fra den amerikanske løsningen. Gonets er resultatet av et langvarig russisk forsøk på å bygge et eget lavbanebasert kommunikasjonssystem, men kvaliteten på tjenestene vurderes å ligge klart under Starlinks nivå.

Utviklingen er blitt bremset ikke bare av sanksjonspresset mot Russland, men også av flere år med vellykkede cyberoperasjoner organisert av ukrainske IT-spesialister.

I denne sammenhengen kan det nevnes at flere ukrainske medier i februar 2026, deriblant forsvarsdepartementets nettavis ArmiyaInform og nyhetsportalen RBK-Ukraine, har rapportert om en annen omfattende CYBINT-operasjon. Ukrainske cyberspesialister opprettet da en såkalt honeypot, en digital felle, for å identifisere nøyaktige posisjoner til Starlink-terminaler som ulovlig var ført inn i Russland via tredjeland og brukt av russiske militære avdelinger.

Operasjonen bidro også til å identifisere personer som forsøkte å tilby fienden tjenester for å føre terminaler inn på såkalte hvite lister med sikte på å omgå begrensninger innført av SpaceX.

Tilgangsveier og inntrengning i Gonets

Bak en av flere datalekkasjer fra Gonets sto selskapets toppledelse og IT-spesialister. Blant dem var visegeneraldirektør Aleksej Labzin.

Ifølge CV-en hans fra 2023 har han direkte ansvar for tre avdelinger med totalt 14 medarbeidere (PDF). Ansvaret omfatter drift av IT-infrastrukturen ved hovedkontoret, inkludert 110 datamaskiner, 18 servere og nettverksutstyr, samt støtte til åtte regionale filialer. Det totale antallet ansatte oppgis til over 300 personer.

Labzin oppgir følgende som sine viktigste arbeidsoppgaver i Gonets:

• Teknisk service, feilretting og gjenoppretting av funksjon i persondatamaskiner, servere, nettverksutstyr, lokale nettverk og datalagringssystemer
• Organisering av utvikling samt gjennomføring av planer for innføring av ny datateknologi og nye tekniske løsninger
• Ansvar for informasjonssikkerhet

I arbeidet med informasjonssikkerhet bistås han også av en annen erfaren militær spesialist, Vladimir Katayev, sjefsspesialist innen kryptografisk informasjonsbeskyttelse ved Gonets. Også han skal ha havnet i søkelyset hos ukrainske cyberspesialister.

Det finnes også en interessant bakgrunn. Frem til 2019 tjenestegjorde Katayev som senioringeniør ved den hemmeligstemplede militære enheten 46179, som hører inn under det 12. hoveddirektoratet i Russlands forsvarsdepartement. Enheten har ansvar for kjernefysisk teknisk støtte og sikkerhet i Russland.

Under sin militære karriere tjenestegjorde han hovedsakelig i avdelinger knyttet til samme direktoratsstruktur, i stillinger med ansvar for beskyttelse av militære hemmeligheter.

Etter denne gjennomgangen av nøkkelpersoner innen Gonets’ informasjonssikkerhet kan opplysninger om selskapets interne IT-infrastruktur presenteres.

Gonets’ interne IT-infrastruktur

I åpne kilder beskrives Gonets som et lavbanebasert satellittkommunikasjonssystem. Systemet brukes til kommunikasjon utenfor GSM-nettenes dekningsområder, til overføring av koordinatdata og telemetri samt til meldingsutveksling mellom brukere og infrastrukturobjekter.

Gonets inngår i Russlands rominfrastruktur og samarbeider med Roscosmos.

Selskapet deltar også i driften av romsystemet Luch, som brukes til dataoverføring fra bæreraketter og romfartøy.

Den bakkebaserte delen av systemet består av flere regionale stasjoner i Moskva, Zjeleznogorsk, Juzjno-Sakhalinsk, Murmansk, Rostov-na-Donu, Norilsk og Anadyr i Tsjukotka, lengst øst i Russland.

Et særlig interessant objekt finnes i området rundt stasjonen Orbita i Anadyr, det administrative sentrum i Tsjukotka. I dokumentasjonen oppgis stedet ikke med adresse, men med koordinatene 64°43’55.8″N 177°28’39.3″E.

Sentral IT-infrastruktur i Moskva

Interne dokumenter som ble sikret under CYBINT-operasjonen, viser at adressen Baumanskaja 53/2 i Moskva, som i offisielle dokumenter er oppført som juridisk adresse, også utgjør navet i IT-infrastrukturen.

I teknisk dokumentasjon for sikkerhetssystemet oppgis samme adresse som plasseringen av den sentrale programvaren for systemet for adgangskontroll og tilgangsstyring. Herfra skjer den samlede styringen av hele infrastrukturen, og stedet utgjør det eneste sentrale styringsnavet for systemet.

Et oppsiktsvekkende innslag i lekkasjen var en tabell over det interne nettverket samt dokumentasjon knyttet til forretningssystemet 1C. Der fremgår det uttrykkelig at systemet videreutvikles for rapportering om gjennomføringen av statlige kontrakter innenfor rammen av Russlands forsvarsanskaffelser.

De interne dokumentene viser også konsekvenser av internasjonale sanksjoner, som har bidratt til at installert programvare er blitt foreldet.

Intern dokumentasjon og IT-infrastruktur ved Gonets

Følgende interne dokumenter inngår i materialet som ble sikret:

• Teknisk spesifikasjon for utvikling av sikkerhetssystemer for Gonets’ kontorer (PDF)
• Konsept for digitalisering og IT-utvikling i Gonets (PDF)
• Teknisk spesifikasjon for videreutvikling av det finansielle systemet (PDF)

Anlegg i Moskva

Ved adressen Baumanskaja 53/2 i Moskva finnes følgende funksjoner:

• Hovedkontor for ledelse og styring
• Sentral serverinfrastruktur
• Sentral node for IP-telefoni og videokonferansesystemer
• Sentral server for systemet for adgangskontroll

IT-infrastruktur i kontormiljø

Kontormiljøet omfatter følgende komponenter:

• Om lag 60 arbeidsstasjoner
• Serverrom
• Rutere og svitsjer
• Brannmurer av typen Altell Neo 120 og Cisco ASA 5505
• Servere fra Dell, Supermicro og Aquarius

Operativsystemer

Flere ulike og delvis foreldede operativsystemer brukes på serverne:

• Windows Server 2016
• Windows Server 2012 R2
• Ubuntu
• CentOS

Sentrale tjenester

Følgende IT-tjenester brukes i infrastrukturen:

• Active Directory
• Microsoft Exchange
• Hyper-V
• DHCP og DNS
• FTP

Samlet sett utgjør anlegget sentrum for styringen av hele det interne nettverket.

Internt nettverk og registrerte noder

Det interne nettverket er konfigurert i subnettet 192.168.20.*.

Blant registrerte noder finnes følgende:

• 192.168.20.1 MicroTik-gateway
• 192.168.20.2 domenekontroller
• 192.168.20.4 Exchange-e-postserver
• 192.168.20.7 1C-server
• 192.168.20.9 Parsec adgangskontrollsystem
• 192.168.20.12 dokumenthåndtering og SQL
• 192.168.20.16 Kaspersky Security Center
• 192.168.20.17 Activity Monitor
• 192.168.20.25 webserver eller webhotell
• 192.168.20.28 SVN
• 192.168.20.190 kodearkiv for utviklere

Det finnes også IP-adresser knyttet til overvåkingskameraer samt gateway-er for andre kontorer i nettverket.

Konklusjoner

Det innsamlede materialet peker på gjentatte svakheter i cybersikkerheten i russisk samfunnskritisk infrastruktur. Også virksomheter med tilknytning til forsvarsindustrien og romsektoren fremstår som sårbare som følge av foreldet programvare, sentraliserte systemløsninger og menneskelige feil.

Materialet viser også at inntrengninger mot komplekse mål kan gjennomføres over tid og på en metodisk måte gjennom en kombinasjon av teknisk kapasitet, analyse og langsiktig planlegging.

I moderne krigføring har cyberdomenet utviklet seg til et eget operasjonsområde, der resultater ofte avgjøres av tilgang til informasjon, inntrengningens dybde og evnen til å omsette etterretning til operative resultater.

Begrenset publisering og operativ sikkerhet

Materialet som offentliggjøres, utgjør bare en del av et langt større informasjonsgrunnlag. Utvalget er gjort av hensyn til operativ sikkerhet i tråd med etablerte OPSEC-prinsipper for å unngå å eksponere pågående eller relaterte operasjoner.

Denne begrensningen innebærer at det fulle omfanget av inntrengningen og tilgangen til systemene ikke redegjøres for. Dermed gjenstår det usikkerhet knyttet til inntrengningens dybde og rekkevidde.

Som eksempel kan det også nevnes et dokument som periodevis distribueres til ledende russiske selskaper innen forsvarsindustrien, og som omhandler tiltak mot ukrainske cyberangrep som utnytter sårbarheter i programvare.

Andre artikler av InformNapalm

• Norge og Ukraina i Europas omformede sikkerhetsstruktur
• Privat diplomati truer europeisk sikkerhet og svekker den transatlantiske orden
• Trepartssamtaler i Abu Dhabi mens russiske angrep fortsetter

Distribusjon og opptrykk med kildehenvisning er velkomne. Creative Commons – Attribution 4.0 International – CC BY 4.0. Følg oss på Facebook og Twitter.

InformNapalm har ingen økonomisk støtte fra noen regjering eller sponsor. Våre eneste støttespillere er individuelle frivillige og lesere. Du kan også støtte InformNapalm ved å gi månedlige minidonasjoner via Buymeacoffee.