駭客身分的真相：別被「資通電軍名單」與 APT 名稱迷惑／魯云湘

魯云湘（國際事務研究者）

近期，中國大陸國家計算機病毒應急處理中心和360數字安全集團，聯合發布疑似中華民國資通電軍20位成員名單，以及台灣地區五大駭客組織：APT-C-01、APT-C-62、APT-C-64、APT-C-65、APT-C-67，並宣稱這些組織對大陸地區進行網路攻擊。或許讓不少人因此誤以為台北政府有「祕密駭客部隊」，但真正駭客絕不公開身份，無論白帽、黑帽或灰帽，他們都需隱匿自身，以免遭到法律問責或安全風險。事實上，這些所謂的「APT 名稱」加上官方指控，往往只是心理戰工具，並不足以證明背後真有具備零日（0day）漏洞開發、逆向工程與後門維持等深度技術的團隊。

「駭客」原義源自美國麻省理工學院技術社群，指那些能突破技術侷限、深諳網路與系統原理的專家。現今大致分三類：
1、白帽駭客（White Hat）。受企業或政府合法委託，負責滲透測試與弱點掃描，以修補安全漏洞。他們可以公開身份，累積專業聲譽，但若參與政府、軍事或其他機密專案，也會化名或僅以單位名義亮相，並簽署嚴格保密協議。

2、黑帽駭客（Black Hat）。從事非法行動，如資料竊取、散播勒索軟體。為防被追訴或報復，他們運用多層匿名化工具（Tor、VPN）、跳板伺服器與假身份，甚至在暗網（Dark Web）交易。如2017 年的「WannaCry」事件，至今未完整破案，即因黑帽能以嚴密技術隱藏攻擊跡證。

3、灰帽駭客（Gray Hat）。介於兩者之間，可能未經授權入侵系統以發現漏洞，然後通報廠商但不牟利。其行為屬法律灰色地帶，因此有時公開身份以獲取懸賞金，但也有人擔憂被起訴而匿名。

要稱某個網路組織為 APT（Advanced Persistent Threat），需具備下列核心技術：漏洞發掘、逆向工程、後門開發與維護、網路指令與攻擊自動化。若一支號稱擁有APT稱號的團隊，僅是在論壇上散播政治言論，或在暗網擁有少數惡意程式樣本，卻沒有被任何資安機構追蹤分析、概念驗證，就無法與具有上述深度技術實力的高階駭客團隊畫上等號。另外這類「APT 名稱」，常見於政府或情報單位賦予的編號。

大陸公開資通電軍成員名單與懸賞通緝，究竟是阻斷就業管道、壓縮謀職空間，或是製造心理壓力，實際目的無法得知。但這些遭到公開資訊的成員，真的是駭客嗎？這點需回到開頭所述，駭客為何堅持匿名？

這是因為，匿名是他們最低的安全保障！首先，黑帽若曝光，將面臨刑事追訴；灰帽若未經授權入侵系統，也可能遭起訴。即便白帽行為合法，只要參與機密專案，若身份被外洩，也會成為報復目標。其次，敵對勢力或其他駭客，一旦得知駭客的真實身分，就能透過釣魚、木馬或社交軟件，獲取更多身份資訊，甚至威脅其家人安全。

誠如前述，匿名是駭客最基本的自我防護，失去匿名就等同於讓自己暴露在危險之中。當然，凡事皆有例外。以前述的白帽為例，在某些情況下公開身份確實有助於累積專業聲譽。然而，一旦其任務涉及政府、軍事或關鍵科技等敏感領域，他們必定會化名執行並簽署嚴格的保密協議，以最大限度降低被鎖定的風險。

有鑒於此，政府若要招募黑帽、灰帽或資深白帽，通常透過資安機構、駭客競賽或是暗網私下邀約。不過，也存在另一種可能：部分駭客由於犯罪證據已被政府掌握，在無可奈何之下，只能被迫選擇與政府合作。受聘後，他們要簽多層保密協議，以化名或代號運作（如大陸公布的APT-C-XX），在受控的沙盒環境執行任務，絕不公開真實身分。因此，台北若有秘密招募匿名駭客，協助國家網路作戰的需求，所有成員必須皆以代號出現在任務報告中。

面對大陸官方發布的 APT 名單與攻擊指控，除了應追蹤國際資安廠商（如 CrowdStrike、FireEye、Trend Micro）或研究機構（CERT/CC）的獨立報告、確認是否有相同攻擊跡象與惡意程式碼特徵（Indicator of Compromise, IoC）。但從公布的報告中，僅揭露 APT-C-01、C-62、C-64、C-65、C-67 等組織以木馬植入、釣魚郵件、漏洞掃描、密碼爆破、SQL 注入及內網偵察等較基礎手法，並未提供任何自製攻擊程式碼，或是專屬後門示例；可見若僅憑「官方聲明＋編號」即宣稱其具備深度研發與長期滲透能力，未免牽強。

總之，這些所謂的「APT 名稱」及其相關指控，本質上更像是用於營造威脅形象、配合公開懸賞，以阻礙我方招募行動的心理戰與宣傳工具。即便真的是，最多也只能算的上專業「網路好手」。畢竟，真正頂尖的駭客，是不會讓大眾知曉其身份的。（圖片翻攝畫面示意圖）