Cyberspecialister från 256 Cyber Assault Division, analysgruppen Ukrainian Militant och InformNapalm har genomfört ännu en gemensam CYBINT-operation mot Gonets och andra ryska företag med koppling till Rysslands militärindustriella komplex.

Under den omfattande operationen, som pågick i flera år, säkrades även interna dokument från organisationer som verkar i den ryska arméns intresse. Ett av resultaten var tillgång till intern korrespondens och dokumentation från vice generaldirektören för Sputnikovaya Sistema Gonets samt dennes medarbetare. Under flera månader mellan 2023 och 2025 överfördes information systematiskt till Ukrainas försvarsstyrkor.

Operativ paus och selektiv publicering

Efter att samtliga underrättelsefaser avslutats och informationskällorna stängts genomförde deltagarna en längre paus av hänsyn till operativ säkerhet och för att skydda närliggande insatser samt säkerhetsintressen.

I dag publiceras en begränsad del av materialet. Uppgifterna utgör dels en bekräftelse på intrång i Gonets interna dokumentation, dels information av allmänt intresse som kan skapa ytterligare påverkan mot de berörda målen.

I en arkivvideo presenteras Gonets för Dmitrij Medvedev, tidigare rysk president och vice ordförande i Rysslands säkerhetsråd.

Gonets marknadsförs i Ryssland som ett nationellt alternativ till Starlink. Ryska företrädare uppger även att terminaler på sikt ska kunna installeras på obemannade luftfarkoster.

Systemets tekniska prestanda och operativa kapacitet skiljer sig dock tydligt från den amerikanska lösningen. Gonets är resultatet av ett långvarigt ryskt försök att bygga ett eget lågbanebaserat kommunikationssystem, men tjänsternas kvalitet bedöms ligga klart under Starlinks nivå.

Utvecklingen har bromsats inte bara av sanktionstrycket mot Ryssland, utan även av fleråriga framgångsrika cyberoperationer organiserade av ukrainska IT-specialister.

I sammanhanget kan nämnas att flera ukrainska medier i februari 2026, däribland försvarsministeriets nättidning ArmiyaInform och nyhetsportalen RBK-Ukraine, har rapporterat om en annan omfattande CYBINT-operation. Ukrainska cyberspecialister skapade då en så kallad honeypot, en digital fälla, för att identifiera exakta positioner för Starlink-terminaler som illegalt förts in i Ryssland via tredje land och använts av ryska militära förband.

Operationen bidrog även till att identifiera personer som försökte erbjuda fienden tjänster för att föra in terminaler på så kallade vita listor i syfte att kringgå begränsningar som införts av SpaceX.

Ingångspunkter och intrång i Gonets

Bakom ett av flera dataläckor från Gonets fanns bolagets högre chefer och IT-specialister. Bland dem fanns vice generaldirektören Aleksej Labzin.

Enligt Aleksej Labzins personliga CV från 2023 har han direkt ansvar för tre avdelningar med totalt 14 medarbetare (PDF). Ansvaret omfattar drift av IT-infrastrukturen vid huvudkontoret, inklusive 110 datorer, 18 servrar och nätverksutrustning, samt stöd till åtta regionala filialer. Det totala antalet anställda anges till över 300 personer.

Bland sina huvudsakliga arbetsuppgifter inom Gonets anger Labzin följande:

• Teknisk service och återställning av funktion i persondatorer, servrar, nätverksutrustning, lokala nätverk och datalagringssystem
• Organisation av utveckling samt genomförande av planer för införande av ny datorteknik och nya tekniska lösningar
• Ansvar för informationssäkerhet

I arbetet med informationssäkerheten bistås han även av en annan erfaren militär specialist, Vladimir Katajev, chefspecialist inom kryptografiskt informationsskydd vid Gonets. Även han uppges ha hamnat i fokus för ukrainska cyberspecialister.

Det finns även en historisk bakgrund av intresse. Fram till 2019 tjänstgjorde Katajev som senioringenjör vid den hemligstämplade militära enheten 46179, som tillhör det 12:e huvuddirektoratet inom Rysslands försvarsministerium. Enheten ansvarar för kärntekniskt stöd och säkerhet i Ryssland.

Under sin militära karriär tjänstgjorde han huvudsakligen inom förband kopplade till samma direktoratsstruktur, i befattningar med ansvar för skydd av militära hemligheter.

Efter denna genomgång av nyckelpersoner inom Gonets informationssäkerhet kan uppgifter om bolagets interna IT-infrastruktur presenteras.

Gonets interna IT-infrastruktur

I öppna källor beskrivs Gonets som ett lågbanebaserat satellitkommunikationssystem. Systemet används för kommunikation utanför GSM-nätens täckningsområden, överföring av koordinatdata och telemetri samt meddelandeutbyte mellan användare och infrastrukturobjekt. Gonets ingår i Rysslands rymdinfrastruktur och samverkar med Roscosmos.

Företaget deltar även i driften av rymdsystemet Luch, som används för dataöverföring från bärraketer och rymdfarkoster.

Den markbaserade delen av systemet består av flera regionala stationer i Moskva, Zjeleznogorsk, Juzjno-Sachalinsk, Murmansk, Rostov-na-Donu, Norilsk och Anadyr i Tjukotka längst österut i Ryssland.

Ett särskilt intressant objekt finns i området kring stationen Orbita i Anadyr, administrativt centrum i Tjukotka. I dokumentationen anges platsen inte med adress utan med koordinaterna 64°43’55.8″N 177°28’39.3″E.

Central IT-infrastruktur i Moskva

Interna dokument som har säkrats under CYBINT-operationen visar att adressen Baumanskaja 53/2 i Moskva, som i officiella handlingar anges som juridisk adress, även utgör navet i IT-infrastrukturen.

I teknisk dokumentation för säkerhetssystemet anges samma adress som plats för den centrala programvaran till systemet för passerkontroll och åtkomststyrning. Därifrån sker den samlade styrningen av hela infrastrukturen och platsen utgör det enda centrala styrningsnavet för systemet.

Ett uppmärksammat inslag i läckan var en tabell över det interna nätverket samt dokumentation rörande affärssystemet 1C. Där framgår uttryckligen att systemet vidareutvecklas för rapportering om genomförandet av statliga kontrakt inom ramen för Rysslands försvarsupphandlingar.

De interna dokumenten visar även effekter av internationella sanktioner som bidrar till att installerad programvara har blivit föråldrad.

Intern dokumentation och IT-infrastruktur vid Gonets

Följande interna dokument ingår i det material som har säkrats:

• Teknisk specifikation för utveckling av säkerhetssystem för Gonets kontor (PDF)
• Koncept för digitalisering och IT-utveckling inom Gonets (PDF)
• Teknisk specifikation för vidareutveckling av det finansiella systemet (PDF)

Anläggning i Moskva

Vid adressen Baumanskaja 53/2 i Moskva finns följande funktioner:

• Huvudkontor för ledning och styrning
• Central serverinfrastruktur
• Central nod för IP-telefoni och videokonferenssystem
• Central server för systemet för passerkontroll

IT-infrastruktur i kontorsmiljö

Kontorsmiljön omfattar följande komponenter:

• Cirka 60 arbetsstationer
• Serverrum
• Routrar och switchar
• Brandväggar av typen Altell Neo 120 och Cisco ASA 5505
• Servrar från Dell, Supermicro och Aquarius

Operativsystem

Flera olika och delvis föråldrade operativsystem används på servrarna:

• Windows Server 2016
• Windows Server 2012 R2
• Ubuntu
• CentOS

Centrala tjänster

Följande IT-tjänster används inom infrastrukturen:

• Active Directory
• Microsoft Exchange
• Hyper-V
• DHCP och DNS
• FTP

Sammanfattningsvis utgör anläggningen centrum för styrningen av hela det interna nätverket.

Internt nätverk och registrerade noder

Det interna nätverket är konfigurerat inom subnätet 192.168.20.*.

Bland registrerade noder återfinns följande:

• 192.168.20.1 gateway MicroTik
• 192.168.20.2 domänkontrollant
• 192.168.20.4 e-postserver Exchange
• 192.168.20.7 server för 1C
• 192.168.20.9 passerkontrollsystem Parsec
• 192.168.20.12 dokumenthantering och SQL
• 192.168.20.16 Kaspersky Security Center
• 192.168.20.17 Activity Monitor
• 192.168.20.25 webbserver eller webbhosting
• 192.168.20.28 SVN
• 192.168.20.190 kodarkiv för utvecklare

I nätverket förekommer även IP-adresser kopplade till övervakningskameror samt gateway-enheter för andra kontor.

Slutsatser

Det insamlade materialet pekar på återkommande brister i cybersäkerheten inom rysk samhällskritisk infrastruktur. Även verksamheter med koppling till försvarsindustrin och rymdsektorn framstår som sårbara till följd av föråldrad programvara, centraliserade systemlösningar och mänskliga misstag.

Materialet visar även att intrång mot komplexa mål kan genomföras långsiktigt och metodiskt genom kombinationen av teknisk kapacitet, analys och uthållig planering.

I modern krigföring har cyberdomänen utvecklats till ett eget operationsområde, där resultat ofta avgörs av tillgång till information, intrångets djup och förmågan att omsätta underrättelser operativt.

Begränsad publicering och operativ säkerhet

Det material som offentliggörs utgör endast en del av ett betydligt större informationsunderlag. Urvalet är gjort med hänsyn till operativ säkerhet enligt etablerade OPSEC-principer, i syfte att inte exponera pågående eller relaterade insatser.

Denna begränsning innebär att den fullständiga omfattningen av intrånget och tillgången till systemen inte redovisas. Därmed kvarstår en osäkerhet kring intrångets djup och räckvidd.

Som exempel kan även nämnas ett dokument som periodvis distribueras till ledande ryska företag inom försvarsindustrin och behandlar åtgärder mot ukrainska cyberangrepp som utnyttjar sårbarheter i programvara.

Ytterligare artiklar av InformNapalm

• Trepartssamtal i Abu Dhabi samtidigt som ryska attacker fortsätter
• Vapensmuggling via Krim i ryska 291:a regementet och Vostok-Achmat
• Privat diplomati hotar europeisk säkerhet med underminering av transatlantisk ordning

Materialet får fritt spridas och återpubliceras under förutsättning att källan anges. Licensiering enligt Creative Commons Erkännande 4.0 Internationell (CC BY 4.0). Följ oss på Facebook, Twitter, Telegram och Slate (Sl8).

InformNapalm tar inte emot ekonomiskt stöd från någon stat eller institutionell sponsor. Verksamheten finansieras uteslutande av frivilliga insatser från enskilda volontärer och läsare. Den som önskar bidra kan göra det genom månatliga mindre donationer via plattformen Buymeacoffee.