Кіберфахівці зі складу 256-ї Кібер Штурмової Дивізії, аналітичної групи Ukrainian Militant та міжнародної розвідувальної спільноти InformNapalm провели чергову спільну CYBINT-операцію проти російських підприємств, пов’язаних із військово-промисловим комплексом Російської Федерації.
У ході масштабної операції, яка тривала декілька років, також вдалось здобути внутрішні документи організацій, які працюють в інтересах російської армії. Одним із результатів стало отримання доступу до закритих листувань і документації заступника генерального директора АТ “Спутниковая система “Гонец”” (далі по тексту СС “Гонец”) та його підлеглих. Протягом багатьох місяців у період 2023-2025 років інформація системно передавалась Силам оборони України.
Після завершення всіх розвідувальних етапів та закриття джерел добування інформації учасники операції витримали тривалу паузу для забезпечення безпеки супутніх операцій (OPSEC) по дотичних елементах.
Сьогодні ми публікуємо невелику частину даних, які з одного боку слугують підтвердженням зламу внутрішньої документації СС “Гонец”, а з іншого – можуть бути цікаві широкому загалу та спричинити додатковий вплив на згадані об’єкти цієї операції.
Архівне відео з презентації СС “Гонец” Дмітрію Медвєдєву:
СС “Гонец” наразі позиціонується в РФ як власний “аналог Starlink” та в перспективі заявлено, що російські фахівці планують встановлювати термінали на БПЛА:
Проте наразі за своїми технічними характеристиками та можливостями він суттєво відрізняється від американської системи. СС “Гонец” є багаторічною спробою росіян створити власну низькоорбітальну систему зв’язку, але за якістю послуг вона значно поступається американському Starlink.
І гальмування її розвитку обумовлене не лише санкційним тиском на РФ, а і багаторічними успішними кіберопераціями, організованими українськими IT-фахівцями.
В контексті нагадаємо, що в лютому 2026 низка українських видань, зокрема, онлайн-медіа Міністерства оборони України АрміяInform, український портал новин РБК-Україна та інші засоби масової інформації розповіли про деталі іншої унікальної CYBINT-спецоперації українських кіберфахівців, які створили “ханіпот” для оперативного виявлення даних про місця точного розташування терміналів Starlink, які нелегально ввозились до РФ через треті країни та якими користувались російські військові. Операція також сприяла виявленню осіб, які намагались надавати ворогу послуги внесення терміналів у “білі списки” для обходу обмежень, накладених компанією SpaceX.
Точки входу і компрометації даних СС “Гонец”
Безпосередніми джерелами одного з чисельних витоків СС “Гонец” стали ТОП-менеджери та IT-спеціалісти, серед яких заступник генерального директора Алєксєй Лабзін (рос. – Алексей Михайлович Лабзин).
В своєму особистому резюме Лабзін зазначав, що у його безпосередньому підпорядкуванні – 3 відділи, 14 осіб. Обслуговування ІТ-інфраструктури в центральному офісі (110 ПК, 18 серверів, мережеве обладнання), а також підтримка 8 віддалених філій. Загальна кількість працівників – понад 300 осіб (PDF резюме 2023 року)
Серед великого переліку основних своїх функцій в СС “Гонец” Лабзін вказував:
- технічне обслуговування, відновлення працездатності персональних комп’ютерів, серверів, мережевого обладнання локальної обчислювальної мережі, систем зберігання даних;
- організація розробки та реалізація планів впровадження нової комп’ютерної техніки та технологій;
- забезпечення інформаційної безпеки…
Власне інформаційну безпеку йому допомагав забезпечувати ще один досвідчений військовий фахівець – Головний спеціаліст служби криптографічного захисту інформації “СС “Гонец”, Владімір Катаєв, який також потрапив в тенета українських кіберфахівців.
Тут варто зробити невеликий історичний відступ. Цікаво, що до 2019 року Катаєв проходив службу на посаді старшого інженера у секретній військовій частині 46179 (12-те Головне управління Міністерства оборони Росії, яке відповідає за ядерно-технічне забезпечення та безпеку Російської Федерації). І загалом всю свою військову кар’єру служив в частинах 12-го ГУ МО РФ на посадах пов’язаних із захистом військової таємниці.
Читайте також: “”Полюс-24″ і в/ч 33949: як здобуті кіберфахівцями документи вивели на сектор стратегічних ядерних сил РФ”
Тепер, коли ми познайомили вас з провідними фахівцями інформаційної безпеки і захисту інформації “СС “Гонец” можна перейти до відомостей внутрішньої IT-інфраструктури.
IT-інфраструктура СС “Гонец”
У відкритих джерелах СС “Гонец” описується як низькоорбітальна система супутникового зв’язку. Її призначення: забезпечення зв’язку поза зонами покриття GSM, передача координатних даних, телеметрії, обмін повідомленнями між абонентами та інфраструктурними об’єктами. “СС “Гонец”” входить до інфраструктури космічної галузі РФ і працює у кооперації з держкорпорацією “Роскосмос”. Окрім того, підприємство бере участь у роботі космічної системи ретрансляції “Луч”, яка забезпечує передачу даних з ракет-носіїв та космічних апаратів.
Наземна частина системи складається з кількох регіональних станцій, розміщених у Москві, Желєзногорську, Южно-Сахалінську, Мурманську, Ростові-на-Дону, Норильську і Анади́рі. Особливо показовим є об’єкт у районі станції “Орбіта” в Анади́рі, який замість адреси в документації вказаний за такими координатами: 64°43’55.8″N 177°28’39.3″E
Внутрішні документи, які вдалось витягнути в ході CYBINT-операції встановлюють, що за адресою м.Москва, вул. Бауманська, 53/2, яка в офіційних паперах фігурує як юридична, також концентрується головна IT-інфраструктура.
В технічному завданні на систему безпеки ця ж адреса фігурує як місце розгортання центрального програмного забезпечення системи контролю та управління доступом (СКУД). Це єдиний центр управління всією інфраструктурою.
Показовим фрагментом витоку стала таблиця внутрішньої мережі та документації щодо системи 1С. У них прямо зазначено, що система доопрацьовується для формування звітності про виконання державних контрактів у рамках державних оборонних закупівель МО РФ.
Внутрішні документи показали також і наслідок дії міжнародних санкцій, які обумовлюють застарілість встановленого програмного забезпечення.
Деякі документи з масиву для прикладу:
- Технічне завдання (ТЗ) на створення системи безпеки офісів СС “Гонец” (конвертовано у формат PDF для перегляду)
- Концепція інформатизації СС “Гонец” (PDF)
- ТЗ доопрацювання фінансової системи СС “Гонец” (PDF)
Москва, вул. Бауманська, 53/2
- головний офіс управління;
- розміщення центральної серверної інфраструктури;
- вузол модернізації IP-телефонії та відеоконференцзв’язку;
- центральний сервер системи контролю доступу.
Інфраструктура офісу включає:
- близько 60 робочих станцій;
- серверну кімнату;
- маршрутизатори та комутатори;
- міжмережеві екрани Altell Neo 120 і Cisco ASA 5505;
- сервери DELL, Supermicro та Aquarius.
На серверах використовуються різні застарілі операційні системи:
- Windows Server 2016
- Windows Server 2012 R2
- Ubuntu
- CentOS
Серед ключових сервісів:
- Active Directory
- Microsoft Exchange
- Hyper-V
- DHCP, DNS
- FTP
Фактично ця площадка виступає центром управління всією корпоративною мережею.
Внутрішня мережа використовувала підмережу: 192.168.20.*
Серед зафіксованих вузлів:
- 192.168.20.1 шлюз MicroTik
- 192.168.20.2 контролер домена
- 192.168.20.4 поштовий сервер Exchange
- 192.168.20.7 сервер 1С
- 192.168.20.9 система контролю доступу Parsec
- 192.168.20.12 документообіг + SQL
- 192.168.20.16 Kaspersky Security Center
- 192.168.20.17 Activity Monitor
- 192.168.20.25 веб-хостинг
- 192.168.20.28 SVN
- 192.168.20.190 репозиторій для розробників
У мережі також присутні IP-адреси камер відеоспостереження та шлюзів інших офісів.
Висновок
Ця CYBINT-операція демонструє не лише факт компрометації окремого російського підприємства, а й системні проблеми кібербезпеки у критично важливій інфраструктурі РФ. Отримані дані свідчать, що навіть структури, інтегровані у військово-промисловий комплекс та пов’язані з космічною галуззю, залишаються вразливими через застаріле програмне забезпечення, централізовану архітектуру та людський фактор.
Водночас оприлюднені матеріали – це лише фрагмент значно ширшого масиву інформації. Вони дають уявлення про масштаб проникнення, але не розкривають повної глибини доступу, зберігаючи невизначеність для противника. Такий підхід є частиною сучасної кіберстратегії, де інформація використовується не лише як доказ, а і як інструмент впливу.
Ключовий результат цієї операції – це не лише здобуті документи, а й підтвердження того, що українські кіберфахівці здатні системно працювати проти складних об’єктів, поєднуючи технічні можливості з аналітикою та довгостроковим плануванням. У сучасній війні це стає окремим фронтом, де успіх визначається не кількістю атак, а глибиною проникнення та якістю використання отриманих даних.
Публікація несе ознайомчий характер: фіксує факт компрометації ресурсів російської супутникової системи “Гонец” та її працівників, водночас ми не розкриваємо весь перелік здобутої інформації, щоб залишити “туман війни” стосовно глибини і ступеню проникнення в системи. В якості післямови можемо показати приклад документу, який періодично отримують всі основні російські підприємства ВПК.
В ньому йдеться про дії українських хакерів, які використовують вразливості програмного забезпечення. Кумедно, що ці рекомендації складають люди, подібні до Катаєва, які все життя працюють в сфері захисту інформації та державної таємниці.
Читайте також
- “Можемо хоч ядерку провезти”: як офіцери 291-го полку ЗС РФ і «Восток-Ахмат» налагодили контрабанду зброї через Крим
- Українські хакери виявили як оператори російських дронів використовують Білорусь
- OKBMLeaks: таємні документи виробника компонентів для Су-57 і ПАК ДА “Посланник”
